请问如何防止<啊D注入>工具注入呀
请问如何防止<啊D注入>工具注入呀
我有一朋友的网站被人家多次功击,他没有办法,每次受到功击后把空间的所有文件删除,然后再重新上传文件,这个入侵者也太狠心了,功了就功了,还搞破坏,我朋友那网站过了维护期了,叫别人帮忙要收高费,唉
我看了一下,也不知道是哪里的问题,只是帮他(我朋友)跟踪了那个入侵者一段时间,得到了他的QQ号(他入侵后留在主页),为什么我说他是用"阿D工具"来入侵呢,当然我是猜的,这个猜法是有根据的,我从他的QQ上面得知的,他有把我朋友的域名记录在他的QQ,还有些字符(我试了,是我朋友那网站后台的用户名和密码,当然还有阿D注入),所以我断定它是用阿D入侵的,还有IP,他是ADSL上的网,每次看到他上线的IP都不同,但我查出来都是辽宁省铁岭市 网通ADSL,从他插入网页的恶意代码链接来看,他注册了一个免费域名,从那个域名来猜测,他的名字应该叫李**,这里我就不把他的名字说出来了,我也在网上报了警了,但不知道他们有没有时间受理这个案件,在这里我想提醒一下大家,如果想搞入侵学习,请入侵成功就收手了,不要搞人家的破坏,一些小网站它对我们没有什么 影响,破坏他我们也没有得到什么,只能留给自己不必要的麻烦,我个为认为学习也要摆好心态来学,不然学到又有什么用?到头来还不是害了自己.搞破坏了我们也听说过不少玩火自焚的了.
我在这里提出这个问题我也想学习一下如何防备一些网站知识,如何补漏洞,谢谢!
在网上找到这一堆代码,说是可以防止注入,我加在CONN.ASP文件里后程序不能运行,也使用了"<!--#include file="*.asp"-->"方法,程序还是不能运行,请大家告诉我怎么使用这些代码呀?我也试过插入CONN.ASP文件中的代码底部了(按说明中的)
dim sql_injdata,sql_inj,sql_get,sql_data
SQL_injdata = "'|""|{|}|[|]|\|:|;|<|>|?|,|.|`|~|!|@|$|%|^|(|)|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare|or"
SQL_inj = split(SQL_Injdata,"|")
'防止Get方法注入
If Request.QueryString<>"" Then
For Each SQL_Get In Request.QueryString
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=javascript>alert('请不要在参数中包含非法字符尝试注入!');history.back(-1)</Script>"
Response.end
end if
next
Next
End If
'防止Post方法注入
If Request.Form<>"" Then
For Each Sql_Post In Request.Form
For SQL_Data=0 To Ubound(SQL_inj)
if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA))>0 Then
Response.Write "<Script Language=javascript>alert('请不要在参数中包含非法字符尝试注入');history.back(-1)</Script>"
Response.end
end if
next
next
end if
[ 本帖最后由 冷傲狐 于 2007-7-28 05:37 编辑 ]
