1、萬能Asp防注入代碼-拒絕攻擊,addcomment.asp Aspcms注入漏洞萬能Asp防注入代碼-拒絕攻擊,addcomment.asp Aspcms注入漏洞 放入conn.asp中(/plug/comment/addcomment.asp)(拒絕攻擊 萬能Asp防注入代碼)第一種： squery=lcase(Request.ServerVariables("QUERY_STRING")sURL=lcase(Request.ServerVariables("HTTP_HOST") SQL_injdata ="

2、:|;|>|<|-|sp_|xp_|/|dir|cmd|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare" SQL_inj = split(SQL_Injdata,"|") For SQL_Data=0 To Ubound(SQL_inj)if instr(squery&sURL,Sql_Inj(Sql_DATA)>0 ThenResponse.Wri

3、te "SQL防注入系統"Response.endend ifnext  第二種：   SQL_injdata =":|;|>|<|-|sp_|xp_|/|dir|cmd|(|)|+|$|'|copy|format|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare" SQL_inj = split(SQL_Injdata,"|")If Re

4、quest.QueryString<>"" ThenFor Each SQL_Get In Request.QueryStringFor SQL_Data=0 To Ubound(SQL_inj)if instr(Request.QueryString(SQL_Get),Sql_Inj(Sql_DATA)>0 ThenResponse.Write "SQL通用防注入系統"Response.endend ifnextNextEnd If If Request.Form<>"" ThenFor Ea

5、ch Sql_Post In Request.FormFor SQL_Data=0 To Ubound(SQL_inj)if instr(Request.Form(Sql_Post),Sql_Inj(Sql_DATA)>0 ThenResponse.Write "SQL通用防注入系統"Response.endend ifnextnextend if 一般這種問題是網站有漏洞，系統漏洞或者SQL注入漏洞，或者上傳文件漏洞，如何防止網頁被修改加入腳本病毒? 愛牛網絡將這個問題總結分享如下. 1、簡單的補救措施：在服務器IIS中，把所有的ASP

6、，HTML文件的屬性設置為Everyone只讀（一般是IUSR_），只把數據庫的權限設置成可寫，注意：如果你沒有服務器的管理權限，那么登錄上的空間ftp，選中那些不需要寫入的文件或文件夾，右鍵點擊-屬性：把其中的三組寫入權限都取消，但如果你有ACCESS數據庫，要把數據庫設成可寫，不然讀數據時會出錯。 2、先把惡意代碼刪掉（替換掉），然后把網站目錄下的所有文件全部用殺軟殺下 ,然后一個一個檢查下是否存在后門. 3、在你的程序里寫上以下防注入函數  on error resume next   '這行代碼放到conn.asp的第一行。&#

7、160;'防止注入dim qs,errc,iiiqs=request.servervariables("query_string")'response.write(qs)dim deStr(18)deStr(0)="net user"deStr(1)="xp_cmdshell"deStr(2)="/add"deStr(3)="exec%20master.dbo.xp_cmdshell"deStr(4)="net localgroup administrators&quo

8、t;deStr(5)="select"deStr(6)="count"deStr(7)="asc"deStr(8)="char"deStr(9)="mid"deStr(10)="'"deStr(11)=":"deStr(12)=""""deStr(13)="insert"deStr(14)="delete"deStr(15)="drop"deStr(

9、16)="truncate"deStr(17)="from"deStr(18)="%"errc=falsefor iii= 0 to ubound(deStr)if instr(qs,deStr(iii)<>0 thenerrc=trueend ifnextif errc thenResponse.Write("對不起，非法URL地址請求!")response.endend if 4、在文件中<head></head>加入   <sc

10、ript language="JavaScript"><!- if (top.location != location) top.location.href = location.href;/-></script> = 以下為摘錄= 網頁防篡改 一，Stream開關可自由設置，ASP中的ADODB.Stream 對象用來操作二進制或文本數據的流。通常用于無組件上傳和驗證碼等功能。關閉該組件可以提高網站安全。 Fso開關也可自由設置，FSO(FileSystemObject)是微軟ASP的一個對文件操作的控件，該控件可以對服務器進行讀取、新建、修改、刪除目錄以及文件的操作。關閉該組件有利于提高網站安全。 二，假設網站建好后，今后一段時間都不會再用到ftp上傳功能，這時可以暫時關閉FTP上傳，有助于提高網站的安全，即使ftp密碼泄露，黑客也不能操作空間內的文件，設置后60秒后生效。 三，另外還可設置腳本權限與寫入權限，如果網站只使用了asp，可設置為只