2007年6月25日

三步堵死SQL注入漏洞

摘要: SQL注入是什么? 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。 网站的恶梦——SQL注入 SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户... 阅读全文

posted @ 2007-06-25 12:23 黔人阿诺 阅读(179) 评论(0) 推荐(0) 编辑

SQL注入攻击零距离

摘要: 一次次的SQL注射入侵,一次次的网站被黑,总是那句话,漏洞在所难免,难道一点办法都没吗?这篇文章就是为大家解析下SQL注 射的原理,以及给出一些预防方法。一:基础篇分析下漏洞产生的原因,主要还是参数没完全过滤。cntid = Request("cntid") 这样的语句就存在一个注入攻击,首先,没验证是否为整数解决方法:"response.write " "response.write " "... 阅读全文

posted @ 2007-06-25 12:22 黔人阿诺 阅读(173) 评论(0) 推荐(0) 编辑

SQL注入技术和跨站脚本攻击的检测

摘要: 文章来源:黑基博客 在最近两年中,安全专家应该对网络应用层的攻击更加重视。因为无论你有多强壮的防火墙规则设置或者非常勤于补漏的修补机制,如果你的网络应用程序开发者没有遵循 安全代码进行开发,攻击者将通过80端口进入你的系统。广泛被使用的两个主要攻击技术是SQL注入[ref1]和CSS[ref2]攻击。SQL注入是指:通过互联网的输入区域,插入SQL meta-characters(特殊字符... 阅读全文

posted @ 2007-06-25 12:22 黔人阿诺 阅读(289) 评论(0) 推荐(0) 编辑

PHP与SQL注入攻击

摘要: SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。下面来谈谈SQL注入攻击是如何实现的,又如何防范。 看这个例子:// supposed input$name = “ilia’; DELETE FROM users;”;mys... 阅读全文

posted @ 2007-06-25 12:21 黔人阿诺 阅读(161) 评论(0) 推荐(0) 编辑

Dreamweaver中sql注入式攻击的防范

摘要: Dreamweaver+ASP可视化编程门槛很低,新手很容易上路。在很短的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2... 阅读全文

posted @ 2007-06-25 12:21 黔人阿诺 阅读(258) 评论(0) 推荐(0) 编辑

防范Sql注入式攻击

摘要: Sql注入式攻击是指利用设计上的漏洞,在目标服务器上运行Sql 命令以及进行其他方式的攻击 动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因比如一个在线书店,可以根据用户的输入关键字搜索相关的图书。string name = GetUserInput("BookName");string script = "select table_book where book_n... 阅读全文

posted @ 2007-06-25 12:20 黔人阿诺 阅读(202) 评论(0) 推荐(0) 编辑

跨站式SQL注入技巧

摘要: 学习如何从数据库中获取想要获得的内容,首先,我们先看看SQL注入的一般步骤: 第一节、SQL注入的一般步骤 首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。 其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种: (A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下: Select * from 表名 where 字段=49 ... 阅读全文

posted @ 2007-06-25 12:20 黔人阿诺 阅读(121) 评论(0) 推荐(0) 编辑

SQL注入攻击的原理及其防范措施

摘要: ASP编程门槛很低,新手很容易上路。在一段不长的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。在界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。而在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上的一些ASP... 阅读全文

posted @ 2007-06-25 12:19 黔人阿诺 阅读(219) 评论(0) 推荐(0) 编辑

利用instr()函数防止SQL注入攻击

摘要: 学asp也有一段时间了,这几天一直在写自己的程序,也遇到了好多问题,我就不得不得考虑到一些现在的漏洞,比如,‘ 或 and 1=1等等的一些漏洞!别的先不管,今天我就来说说如何堵这个漏洞! 记得看了一篇文章(不记得什么时候看的了),他用到了instr这个函数,具体的应该是这样的。 If instr(Request("id")," ")>0 or instr(Request("id"),"'")... 阅读全文

posted @ 2007-06-25 12:19 黔人阿诺 阅读(210) 评论(0) 推荐(0) 编辑

编写通用的ASP防SQL注入攻击程序

摘要: SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。 IIS传递给asp... 阅读全文

posted @ 2007-06-25 12:18 黔人阿诺 阅读(168) 评论(0) 推荐(0) 编辑