ASP 二进制SQL注入程序思索

 最近维护一个ASP网站,发现其被SQL注入,和往常的SQL注入不同的是他居然吧SQL语句编译成了二进制,然后再执行SQL写一个存储过程,然后再执行,最后删除存储过程,让你无际可循。说实话,我很佩服现在的黑客,如果可以我也想学学,这是怎么写出来的。。呵呵 下面是他执行的SQL的源码

 

经过编译 其实就是这个样子 

是不是 看得你脑壳大  。。。没办法 其实我的脑壳也很大   这些代码的出处为 http://blog.csdn.net/tkjune/archive/2009/01/03/3687728.aspx

加上以前的那些东东,其实也让我恍然一下想起了很多。原来原理都是一样啊,通过那些不注意对自己的ID那些进行加密的网站的URL 例如 Class.asp?id=1 这些进行加后缀然后SQL注入攻击。那我们如何防御呢。

思想很简单,其实就是过滤这些增 删 改 差字段。在你的数据访问类里面进行过滤。针对一些汇编语言的SQL注入,我建议大家还是对输入的SQL进行二进制的转码 然后再对比。然后过滤。如果考虑安全性考虑,我觉得还是应该在数据库里面写触发器 通过触发器进行SQL语句的过滤

 

posted on 2009-01-20 10:22  叮叮猫的编程世界  阅读(223)  评论(0编辑  收藏  举报