返回首页 设为首页              资源已找到,加载中...... 请稍等!          网站地图google地图百度地图同行旅游RSS |

  资讯>|新闻|人物访谈|新手教程|网络营销|互联网络|站长故事|网站设计|网络应用|

  分类>|百度推广|谷歌推广|腾讯推广|必应推广|雅虎|搜狗|搜索|炒作|软文|博客|综合|

  目录>|推广故事|域名空间|故事|编程|合作|休闲|人才|招聘|论坛|博客|站长|休闲|

>> | 设为首页 | 加入收藏 |

给大家分享网站防注入的常用手段
   点击数:198  更新时间:2015-1-15 18:26:06
  网站被注入对网站的运营来说是很伤的,对于SEO来说也是很致命的,今天给大家分享网站防注入的常用手段。
  大家好,我是微笑话网的站长-三卷天书,一个地地道道的程序员,现在呆一公司给他们负责网站维护,公司的网站是十年前搭建起来的,拿别人弄的模板源码直接套用,看到这么一个网站,我也是醉了,十年前的源码,通篇不带一个注释,而且还把一些功能源码给封装起来,数据库里面70%的表是没有用到的,而且网站频频被注入,我接手后进服务器一看,傻眼了,服务器什么防护措施都没有,就一个可有可无的网络防火墙。这不是摆明了给heike他们机会吗?于是接下来的日子就是搞服务器安全,每天查看是否被注入,备份,然后还原,水深火热啊,废话不多说,接下来回归正题:
  网站常见的注入形式
  URL注入:
  最近查看了微笑话网生成的网站地图,发现了很多想利用网址参数进行注入的,几乎是每时每刻都有,上图给大家看看:
  域名后面的一串类似于乱码的字符就是heike的常用注入方式,也就是利用网站地址注入。
  利用输入框注入:
  这种注入方式多数出于网站的搜索、注册、登陆等功能,因为这个功能的输入是字符串类型,也就是说你在搜索框输入任何字符,都是进行跟数据库匹配查询,然后返回结果。就比如微笑话网的搜索页,也有一堆人要注入:
  IIS注入:这个我了解不深,就不加以解释,免得误导大家可不好。
  其实上面所说的注入其根本原因就是因为参数过滤不严谨导致的,微笑话网所用的方法为:
  一些ID之类的参数要进行验证是否为整形,也就是所谓的123这些自然数,把接收到的参数强转为整形,转换不成功则抓取异常,跳转到设定的错误页面或者其他操作。
  字符串参数的过滤:
  过滤掉SQL语句的关键字符,控制参数字符长度,注入一般都是要形成一句sql语句,都是比较长的句子,如果你把传递的参数只截取前面的30个字符,基本上大多数的注入都会被你拒之门外的,微笑话网就是以此手段进行过滤,大家可以拿来参考参考。

  • 上一篇文章:

  • 下一篇文章:
  • 【字体:
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关?。?
    相 关 文 章
    没有相关文章
    内蒙古快三预测

    Copyright © 2005 - 2011 建站流程网 www.0g1yu.cn All rights reserved. 联系邮箱:chczzcom#163.com
    中国信息产业部备案编号:渝ICP备09029879号-2
    本站全部资源来自于互联网,只供学习,不得用于商业,如有侵犯版权请联系告知,来信请务必附上版权申明及相关证据,我们将第一时间删除.

  • 重庆福彩南分召开投注站结对帮扶启动会 2018-07-14
  • 第四届世界互联网大会成果丰硕圆满落幕 130多亿元互联网项目签约 2018-07-14
  • 过来人告诉你:2018国考报名这样选择职位 2018-07-13
  • 推进新时代中国特色社会主义云南新实践——访云南省委书记陈豪 2018-07-13
  • 北欧的千湖之国被选为2018全球最幸福国家 2018-07-12
  • 人工智能驱动数字经济发展 2018-07-12
  • 春节账单晒出消费升级(今日谈) 2018-07-12
  • 回复@老老保老张工:计划不要批准?那不还是你自己做主?有必要走形式么? 2018-07-11
  • 男女平等基本国策与政府责任座谈会 2018-07-11
  • 好事要支持,解决劳动力更是好事 2018-07-11
  • 大豆自己种,芯片自己造 2018-07-10
  • 新版外商投资负面清单已修订完成 即将发布 2018-07-10
  • 湿热天气毒蛇出没!蛇咋成了邪恶的化身? 2018-07-09
  • 上海电视节白玉兰颁奖礼:《白鹿原》获最佳电视剧奖 2018-07-09
  • 做习近平新闻思想的坚定实践者 2018-07-09
  • 734| 683| 859| 343| 910| 322| 344| 935| 298| 459|