asp.net C# 全站防注入利用Global.asax

最後更新：2018-12-06 來源：互聯網

上載者：User

創建阿里雲帳戶，並獲得超過 40 款產品的免費試用版；而企業帳戶則可以享有總值 $1200 的免費試用版。立即註冊！

全站防注入通用程式

在網站根目錄下建立Global.asax應用程式檔案，這新就可以全站防注入了。程式內容如下：

<%@ Application Language="C#" %>

    void Application_Start(object sender, EventArgs e)
    {
        //在應用程式啟動時啟動並執行代碼

    }
    void Application_End(object sender, EventArgs e)
    {
        //在應用程式關閉時啟動並執行代碼

    }
    void Application_Error(object sender, EventArgs e)
    {
        //在出現未處理的錯誤時啟動並執行代碼

}

    void Session_Start(object sender, EventArgs e)
    {
        //在新會話啟動時啟動並執行代碼

}

    void Session_End(object sender, EventArgs e)
    {
        //在會話結束時啟動並執行代碼。
        // 注意: 只有在 Web.config 檔案中的 sessionstate 模式設定為
        // InProc 時，才會引發 Session_End 事件。如果會話模式
        //設定為 StateServer 或 SQLServer，則不會引發該事件。

}

    /// <summary>
    /// 替換所有注入的字串，並記錄注入時的資訊
    /// </summary>
    /// <param name="sender"></param>
    /// <param name="e"></param>
    void Application_BeginRequest(object sender, EventArgs e)
    {
// * * * * * * * * * * * * * * * * * * * * * * * *
// 全域防注入
// Author:依依秋寒
// * * * * * * * * * * * * * * * * * * * * * * * *

        //在接收到一個應用程式請求時觸發。
        string[] KeyWords = new string[] { ";", "'", "--", "xp_", "XP_", "xP_", "Xp_" };
        string[] safeKeys = ";|'|--|xp_|XP_|xP_|Xp_".Split('|');
        string QueryString = Server.UrlDecode(Request.QueryString.ToString());
        string url = Request.Url.AbsolutePath;
        //排除的副檔名
        string[] dotFileName = url.Split('.');
        string dotName = dotFileName[dotFileName.Length - 1];
        dotFileName = new string[] { "axd" };
        //出現被排除的副檔名時，直接退出
        foreach (string str in dotFileName)
        {
            if (str == dotName)
                return;
        }
        for(int i=0;i<KeyWords.Length ;i++)
        {
            string key = KeyWords[i];
            if (QueryString.Contains(key))
            {
                //* * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
                //記錄注入時的資訊
                //* * * * * * * * * * * * * * * * * * * * * * * * * * * * * *
                string IntoRecord = System.DateTime.Now.ToString();
                IntoRecord += " " + Request.Url.Host;
                IntoRecord += " " + Request.RequestType;
                IntoRecord += " " + Request.Url.AbsolutePath;
                IntoRecord += " " + Server.UrlDecode(Request.QueryString.ToString());
                IntoRecord += " " + Request.UserHostAddress;
                IntoRecord += " " + Request.UserAgent;
                IntoRecord += "\r";

                try
                {
                    string path = Server.MapPath(@"/_IntoRecordLog/");
                    if (!System.IO.Directory.Exists(path))
                        System.IO.Directory.CreateDirectory(path);
                    System.IO.File.AppendAllText(path + DateTime.Now.ToString("yyyyMMdd") + ".log", IntoRecord, System.Text.Encoding.Default);
                }
                catch { }
                //替換注入的URL，並進行跳轉
                QueryString = QueryString.Replace(key, safeKeys[i]);
                Response.Redirect(url + "?" + QueryString);
                Response.End();
            }
        }
    }
</script>

本文章原先以中文撰寫並發佈於 aliyun.com，亦設英文版本，僅作資訊用途。本網站不對文章的準確性，完整性或可靠性或其任何翻譯作出任何明示或暗示的陳述或保證。如對該文章有任何疑慮或投訴，請傳送電郵至 info-contact@alibabacloud.com 並提供相關疑慮或投訴的詳細說明。職員會於 5 個工作天內與您聯絡，一經驗證之後，即會刪除該侵權內容。

A Free Trial That Lets You Build Big!

Start building with 50+ products and up to 12 months usage for Elastic Compute Service

Get Started for Free

Sales Support

1 on 1 presale consultation

Chat Contact Sales
After-Sales Support

24/7 Technical Support 6 Free Tickets per Quarter Faster Response

Open a Ticket
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.

Learn More