設計ASP時對其安全性以及穩定性設計的經驗

來源:互聯網
上載者:User
安全|安全性|設計 我是搞江湖程式出身的,那個時候網上滿那都是駭客攻擊江湖的範例。在當時還是菜鳥兼

站長的我是吃盡了苦頭,也許下邊的一些經驗都不是有太高技術含量,但是如果小瞧的話

死的可能會很慘

1.sql注入漏洞 我想有的人在一些網站上看過介紹。明白的請繼續走。不明白的留下

就先那剛才發[本人開發大型商業平臺...]的那個兄弟開刀,(請不要拿東西丟我)

他的網站設計的感覺還算不錯。但是有一個致命弱點。

就是當我輸入

使用者名稱:admin

密 碼:' or ''='

的時候,就直接能進入到他的系統中,不過不是ADMIN許可權,(失算一,一!)

不過這個就反映一個問題,在一個系統設計中是不應該出現不知道密碼就可以進入個人帳

號的現象的,但這確實出現了。原因是什麼呢

一般的使用者校正都是這樣

rs.open "select * from userdata where name='"&name&"' and pass='&pass&'"

想必大家都知道這個語句怎麼用

但是如果合并我剛才的使用者名稱密碼

這個SQL語句就是

rs.open "select * from userdata where name='admin' and pass='' or ''=''"

想必大家能看明白是怎麼回事情了吧。

解決方案就是把'轉換成''

如果你認為只是能讓你免密碼登入可就錯了

如果使用者名稱是任意密碼是
' or ''='';delete * from userdata where ''='

合并以後大家自己琢磨吧~~~,還有更狠的就不網上寫了

可悲的是我在網路上找ASP的網站,有70%有這樣的漏洞,不知道是素質都不行,還是我

“運氣”太好。

--------------------------------------
留言版和資訊發布

這個照比那個漏洞能差點,至少你資料能保住。

一般設計留言版都直接使用這樣的模式

存:rs("memo")=表單提交資訊
取:<%=rs("memo")%>

在感覺上這樣是沒有什麼問題

但是我如果在留言版輸入如下代碼~
<script language="JavaScript">while (true){ window.open("一個炸彈程式存放地址址/bomb.htm","","fullscreen=yes,Status=no,scrollbars=no,resizable=no");}</script>
不知道你會不會很爽~~~。
或者連到一個SEX然後給相關部門打電話讓他們來檢查達到害死你的目的。
甚至查訊息的時候你直接中彈而導致無法查看他的資訊。

這個時候就要用

Function HTMLEncode(fString)
If Not IsNull(fString) Then
Dim bwords,ii
fString = replace(fString, ">", ">")
fString = replace(fString, "<", "<")

fString = Replace(fString, CHR(32), " ")
fString = Replace(fString, CHR(9), " ")
fString = Replace(fString, CHR(34), """)
fString = Replace(fString, CHR(39), "'")
fString = Replace(fString, CHR(13), "")
fString = Replace(fString, CHR(10) & CHR(10), "</P><P> ")
fString = Replace(fString, CHR(10), "<BR> ")

End Function
這個函數,可以把使用者輸入的HTML代碼按照原樣顯示出來,而不會直接執行。
-------------------------------------
FSO圖片上傳。犯這個錯誤的人已經很少了,不過不表示沒有。
在上傳圖片的時候不限制副檔名。

比如我傳一個ASP的FSO木馬或者通過SHELL執行程式。以及其他方式,就可以完全操控服

務器

不知道到底有多少網站有這個漏洞。

現在網上有大連資訊港的程式下載,想必就知道他是如何來的,(其維護人員還把整個程式打RAR,方便下載)

而另人痛心的是,出現這個錯誤的大部分是政府網站,和國營網站。看學曆以及關係用人

嚴重。不負責任。混日子的人都在機關工作,但真正搞的了技術卻不一定過這什麼日子

-------------------------------
不知道還有什麼,暫時沒想起來,主要這幾個把握好一般人不能黑了,如果通過139或者

445把你網站改了可就不是我能幫的上忙的了



相關文章

E-Commerce Solutions

Leverage the same tools powering the Alibaba Ecosystem

Learn more >

Apsara Conference 2019

The Rise of Data Intelligence, September 25th - 27th, Hangzhou, China

Learn more >

Alibaba Cloud Free Trial

Learn and experience the power of Alibaba Cloud with a free trial worth $300-1200 USD

Learn more >

聯繫我們

該頁面正文內容均來源於網絡整理,並不代表阿里雲官方的觀點,該頁面所提到的產品和服務也與阿里云無關,如果該頁面內容對您造成了困擾,歡迎寫郵件給我們,收到郵件我們將在5個工作日內處理。

如果您發現本社區中有涉嫌抄襲的內容,歡迎發送郵件至: info-contact@alibabacloud.com 進行舉報並提供相關證據,工作人員會在 5 個工作天內聯絡您,一經查實,本站將立刻刪除涉嫌侵權內容。