返回首頁 設為首頁              資源已找到,加載中...... 請稍等!          網站地圖google地圖百度地圖同行旅游RSS |

  資訊>|新聞|人物訪談|新手教程|網絡營銷|互聯網絡|站長故事|網站設計|網絡應用|

  分類>|百度推廣|谷歌推廣|騰訊推廣|必應推廣|雅虎|搜狗|搜索|炒作|軟文|博客|綜合|

  目錄>|推廣故事|域名空間|故事|編程|合作|休閑|人才|招聘|論壇|博客|站長|休閑|

>> | 設為首頁 | 加入收藏 |

給大家分享網站防注入的常用手段
   點擊數:198  更新時間:2015-1-15 18:26:06
  網站被注入對網站的運營來說是很傷的,對于SEO來說也是很致命的,今天給大家分享網站防注入的常用手段。
  大家好,我是微笑話網的站長-三卷天書,一個地地道道的程序員,現在呆一公司給他們負責網站維護,公司的網站是十年前搭建起來的,拿別人弄的模板源碼直接套用,看到這么一個網站,我也是醉了,十年前的源碼,通篇不帶一個注釋,而且還把一些功能源碼給封裝起來,數據庫里面70%的表是沒有用到的,而且網站頻頻被注入,我接手后進服務器一看,傻眼了,服務器什么防護措施都沒有,就一個可有可無的網絡防火墻。這不是擺明了給heike他們機會嗎?于是接下來的日子就是搞服務器安全,每天查看是否被注入,備份,然后還原,水深火熱啊,廢話不多說,接下來回歸正題:
  網站常見的注入形式
  URL注入:
  最近查看了微笑話網生成的網站地圖,發現了很多想利用網址參數進行注入的,幾乎是每時每刻都有,上圖給大家看看:
  域名后面的一串類似于亂碼的字符就是heike的常用注入方式,也就是利用網站地址注入。
  利用輸入框注入:
  這種注入方式多數出于網站的搜索、注冊、登陸等功能,因為這個功能的輸入是字符串類型,也就是說你在搜索框輸入任何字符,都是進行跟數據庫匹配查詢,然后返回結果。就比如微笑話網的搜索頁,也有一堆人要注入:
  IIS注入:這個我了解不深,就不加以解釋,免得誤導大家可不好。
  其實上面所說的注入其根本原因就是因為參數過濾不嚴謹導致的,微笑話網所用的方法為:
  一些ID之類的參數要進行驗證是否為整形,也就是所謂的123這些自然數,把接收到的參數強轉為整形,轉換不成功則抓取異常,跳轉到設定的錯誤頁面或者其他操作。
  字符串參數的過濾:
  過濾掉SQL語句的關鍵字符,控制參數字符長度,注入一般都是要形成一句sql語句,都是比較長的句子,如果你把傳遞的參數只截取前面的30個字符,基本上大多數的注入都會被你拒之門外的,微笑話網就是以此手段進行過濾,大家可以拿來參考參考。

  • 上一篇文章:

  • 下一篇文章:
  • 【字體:
      網友評論:(只顯示最新10條。評論內容只代表網友觀點,與本站立場無關!)
    相 關 文 章
    沒有相關文章
    最 新 推 薦

    Copyright © 2005 - 2011 建站流程網 chczz.com All rights reserved. 聯系郵箱:chczzcom#163.com
    中國信息產業部備案編號:渝ICP備09029879號-2
    本站全部資源來自于互聯網,只供學習,不得用于商業,如有侵犯版權請聯系告知,來信請務必附上版權申明及相關證據,我們將第一時間刪除.

    cctv5高尔夫网球频道