09 2009 档案
摘要:今天早上起来上网发现公司网站又被注入了,郁闷死了,赶快还原!!! 不过也多亏这注入,让我知道怎么简单的分析IIS日志了,呵呵,原来只要ctrl+f查找20%字符串就行,查到到如下东西[代码]呵呵,原来show.aspx这个页面没有经过验证,赶快补上。。。 然后自己用.NET做了个检测数据库中的表中的字段中的内容有没有注入脚本的页面,看来以后每天都得要运行这个页面检测一次哦!!![代码]把代码记录下...
阅读全文
摘要:以前发过一个.NET上传文件的方法的,不过那个方法中对文件类型的判断只是对后缀名来进行判断的,这样假如我把一个txt文本文件的后缀名改为jpg了也可以上传,这样无意中就造成了安全问题。 刚刚从网上找了个方法,试验了一下,是能够辨认出正确的文件类型的,如下:[代码]个人理解:上面的代码中判断文件类型的应该是把文件转成二进制的字节,然后取开头2个字节,这样看来的话开头2个字节就表示文件的类型...
阅读全文
摘要:.NET中有个mappath方法是转成物理路径的,但是我却找不到现成的方法转成虚拟路径,自己写了一个,以做备用![代码]
阅读全文
摘要:用网上下载的UrlRewriteModule URL重写组件发现有时在打开页面的时候会出错(错误一时没有记下来·!!),但是再刷新页面的时候又好了,于是想自己写一个URL重写的,以得以前看视 频的时候说是要URL重写的话可在Module中写,上网查了一下相关的资料,写了一个简单的Module来进行URL重写,记录如下,以备后用:[代码]ModouleTest.cs[代码]个人理解,其实m...
阅读全文
摘要:今天数据库又被注入了。。。我%……——#¥%……**)——¥%——* 搞了一上午,终于把数据库还原了过来。。。真不知道对方是怎么注入的,无意中听同事说了一句,以前另一个同事说插入数据也可以用十六进制插入的, 加上之前我看过一篇文章也是在构造SQL注入语句的时候有一大堆乱78糟的字...
阅读全文
摘要:今天公司数据库又被注入,我¥……——(……¥……——*%……(*%……——¥%…… 还原的时候又出现了那个问题““数据库正在使用,所以无法获得对数据库的独占访问...
阅读全文