关于ASP语言的漏洞问题~答者有分哦!!!!
各位兄弟~有一些问题想问一下
我们公司想做一个类似于“淘宝”的交易类网站,使用ASP语言,我就想问一下如果做ASP的话那么需要注意哪些漏洞风险问题呢?
以下是我个人知道的一点漏洞:
1。防止外部提交
这是防止外部提交的代码
'检测外部提交
ht=Request.ServerVariables( "HTTP_REFERER ")
hs=Request.ServerVariables( "SERVER_NAME ")
if mid(ht,8,len(hs)) <> hs then
response.write " <script> alert( '请不要试图以不和法的URL参数访问! ');location.href= 'http:// "&Request.ServerVariables( "SERVER_NAME ")& " '; </script> "
response.end
end if
2。防止URL注入
检测是否带有注入的参数
function filt(stri)
dim i
ale= Instr(stri, " ' ")
i=i+ale
ale= Instr(stri, " < ")
i=i+ale
ale= Instr(stri, "> ")
i=i+ale
ale= Instr(stri, " " " ")
i=i+ale
ale= Instr(stri, "’ ")
i=i+ale
ale= Instr(stri, "‘ ")
i=i+ale
ale= Instr(stri, "“ ")
i=i+ale
ale= Instr(stri, "” ")
i=i+ale
ale= Instr(stri, "$ ")
i=i+ale
ale= Instr(stri, "% ")
i=i+ale
ale= Instr(stri, "& ")
i=i+ale
ale= Instr(stri, "# ")
i=i+ale
ale= Instr(stri, "~ ")
i=i+ale
ale= Instr(stri, "` ")
i=i+ale
ale= Instr(stri, "* ")
i=i+ale
ale= Instr(stri, "( ")
i=i+ale
ale= Instr(stri, ") ")
i=i+ale
ale= Instr(stri, "+ ")
i=i+ale
ale= Instr(stri, "= ")
i=i+ale
ale= Instr(stri, "^ ")
i=i+ale
ale= Instr(stri, "! ")
i=i+ale
ale= Instr(stri, ", ")
i=i+ale
ale= Instr(stri, "{ ")
i=i+ale
ale= Instr(stri, "} ")
i=i+ale
ale= Instr(stri, "] ")
i=i+ale
ale= Instr(stri, "[ ")
i=i+ale
ale= Instr(stri, "and ")
i=i+ale
ale= Instr(stri, "insert ")
i=i+ale
ale= Instr(stri, "or ")
i=i+ale
ale= Instr(stri, "not ")
i=i+ale
ale= Instr(stri, "like ")
i=i+ale
ale= Instr(stri, "update ")
i=i+ale
ale= Instr(stri, "del ")
i=i+ale
ale= Instr(stri, "add ")
i=i+ale
ale= Instr(stri, "exec ")
i=i+ale
ale= Instr(stri, "asc ")
i=i+ale
ale= Instr(stri, "object ")
i=i+ale
ale= Instr(stri, "join ")
i=i+ale
ale= Instr(stri, "where ")
i=i+ale
ale= Instr(stri, "delete ")
i=i+ale
ale= Instr(stri, "count ")
i=i+ale
ale= Instr(stri, "char ")
i=i+ale
ale= Instr(stri, "int ")
i=i+ale
ale= Instr(stri, "exists ")
i=i+ale
ale= Instr(stri, "if ")
i=i+ale
ale= Instr(stri, "for ")
i=i+ale
ale= Instr(stri, "else ")
i=i+ale
ale= Instr(stri, "mid ")
i=i+ale
ale= Instr(stri, "cint ")
i=i+ale
ale= Instr(stri, "cstr ")
i=i+ale
ale= Instr(stri, "create ")
i=i+ale
ale= Instr(stri, "table ")
i=i+ale
ale= Instr(stri, "view ")
i=i+ale
ale= Instr(stri, "select ")
i=i+ale
ale= Instr(stri, "from ")
i=i+ale
ale= Instr(stri, "rename ")
i=i+ale
ale= Instr(stri, "script ")
i=i+ale
ale= Instr(stri, "go ")
i=i+ale
ale= Instr(stri, "execute ")
i=i+ale
ale= Instr(stri, "chr ")
i=i+ale
filt=i
end function
过滤“ '”符号
function filtstr(str)
str=replace(str, " ' ", "’ ")
filtstr=str
end function
请问除了注意以上这些还需要注意哪些呢!谢谢~~~~~
[解决办法]
我也想知道。期待ING……
[解决办法]
sql注入
[解决办法]
简单的说,你用的防注入方法太垃圾了。。。。
[解决办法]
注意过滤 '就行了
如果参数是数字,过滤后加上Clng转换
[解决办法]
上传文件的格式
旁注
[解决办法]
防止sql注入 逻辑上是数字类型的字符串一定要进行数字类型校验,字符类型的替换字符串的半角单引号( ')为双个单引号( ' '),在sql语句中双个单引号代表一个单引号。只要保证这两个,就可以防止sql注入。
而你的防止外部提交的代码根本没什么太大的作用,只能防防菜鸟,最根本的做法是在关键提交中用session或Cookies+session来限制没有权限的提交
[解决办法]
文件上传是一方面,还有防止重复提交,最主要的还是服务器端的安全,这个只能是靠空间商来维护
[解决办法]
逻辑上是用SESSION做的但是不能是你这个方法,我提交一次然后这个页面不动,在新打开一个表单页面SESSION(“PAGEVALUES”)不就又是0了,然后在刷提交过的页面,呵呵,重复提交成功了用这个
<%
Sub InitializeFID()
If Not IsObject(Session( "FIDList ")) Then
Set Session( "FIDList ")=Server.CreateObject( "Scripting.Dictionary ")
Session( "FID ")=0
End If
End Sub
Function GenerateFID()
InitializeFID
Session( "FID ") = Session( "FID ") + 1
GenerateFID = Session( "FID ")
End Function
Sub ReGISterFID()
Dim strFID
InitializeFID
strFID = Request( "FID ")
Session( "FIDlist ").Add strFID, now()
End Sub
Function CheckFID()
Dim strFID
InitializeFID
strFID = trim(Request( "FID "))
CheckFID = not Session( "FIDlist ").Exists(strFID)
End Function
%>
怎么用,我懒得解释了,你可以上网查查
[解决办法]
真有分啊!
[解决办法]
上传漏洞
爆库漏洞
数据库木马
[解决办法]
ASP漏洞分析和解决方法:
http://www.netbei.com/Article/asp/asp5/200408/1198.html
[解决办法]
sql注入漏洞现在被利用的较多
