[推荐]ASP登陆验证页应做的安全问题类似的方法很多,网上有很多的详细文章,都是一样过滤特定字符的,学学没有错的,实在不会就用防注入系统就OK了(记得更改防注入系统的默认密码和数据库),免得烦闷……但还是应该先学学防注入和注入原理,呵,有得必有失,,,,
一种是会员登陆
下面这一段代码是把username的非法字符过滤掉
| 以下是引用片段: <% username=trim(request.form("username")) userpws=trim(request.form("password")) if username="" or userpws="" or Instr(username,"=")>0 or Instr(username,"%")>0 or Instr(username,chr(32))>0 or Instr(username,"?")>0 or Instr(username,"&")>0 or Instr(username,";")>0 or Instr(username,",")>0 or Instr(username,"'")>0 or Instr(username,",")>0 or Instr(username,chr(34))>0 or Instr(username,chr(9))>0 or Instr(username," ")>0 or Instr(username,"$")>0 then response.write('' 请正确输入用户名和密码'') response.end end if %> |
还有一种是通过地址栏输入非法字符的溢出漏洞如 一有页面为newslist.asp一页面为newspage.asp
我们从newslist.asp传递newsid参数到newspage.asp在newspage.asp接收参数时一般我们只用,
| 以下是引用片段: <% dim newsid newsid=request(''newsid'') .................... %> |
为安全起见我们至少要加一句
| 以下是引用片段: <% dim newsid newsid=tirm(request''id'') if newsid='''' or Instr(newsid,"'")>0 or Instr(newsid,"%")>0 then response.write(''非法参数'') response.end %> |
我说的基本上就以上两点,如有不到之处请多多指教。
虽然在INTERNET中我们还存在着一些漏洞,但我们多输入几行代码就更好地增加了网站的安全性!
| Windows Server2003安全配置整理 | 08-20 | |
| CC DDOS攻击器的原理及防范方法 | 06-13 | |
| 浅析注入漏洞的查与补 | 05-18 | |
| 虚拟主机封杀webshell提权 | 05-08 | |
| 域名劫持的终极解决之道 | 05-06 | |
| MySQL数据库安全配置指南 | 04-21 | |
| 渗透测试中的攻与守 | 04-21 | |
| 反向代理的概念及提高WEB服务器的 | 04-13 | |
| windows权限详解(2000/XP/2003) | 04-12 | |
| 防范PHP木马 | 04-11 | |
| Windows 2003 Server安全配置完整 | 04-10 | |
| 关闭不必要的服务、端口、COM组件 | 04-10 | |
您现在的位置: