asp+mssql开发的网站如果对get/post参数处理不好,很容易被注入,在数据库中插入类似<script src=....></script>和<iframe src=... width=0 height=0></iframe>的病毒或木马代码,使得访问该站点的访问者访问时运行该代码。
查看被注入的web日志可以发现形如下面的日志信息
使用如下sql存储过程清理被注入的木马等恶意程序代码:
使用方法:
exec ReplaceKeyWord '需要替换的字符','替换成的新字符'
exec ReplaceKeyWord '<iframe src=... width=0 height=0></iframe>',''
上面的语句执行后会将整个数据库中所有的表的所有字段中含有的<iframe src=... width=0 height=0></iframe>替换掉.
对程序参数进行严格的类型判断配合通用防注入程序(网上可以找到),一般就不会出现被注入的情况了,如果仍然不可以的话,可以在MSSQL里加如触发器对插入的内容进行限制。
例如:
上面的触发器是在danwei表上加的限制在title和content字段插入类似<script....../scrip>和<iframe....../iframe>字符的,如果插入或更新的内容含有类似字符,系统会执行回滚,信息不会被插入或更新。一般情况下很多注入都是通过程序自动完成的,所以用触发器能起到一定的防范作用。
分享到:
相关推荐
MySQL注入攻击及防范方法.pdf
mysql注入绕过技术
mysql注入工具;神器mysql注入工具;神器mysql注入工具;神器mysql注入工具;神器mysql注入工具;神器mysql注入工具;神器mysql注入工具;神器mysql注入工具;神器mysql注入工具;神器mysql注入工具;神器mysql注入工具;神器...
MYSQL注入获取权限 MYSQL注入获取权限 MYSQL注入获取权限
Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入Mysql注入...
基于PHP MySQL的用户登录系统SQL注入实例及防范.pdf
mysql注入大全讲解(很详细哦),可以学习一下啊,比较全面了
具体介绍了mysql注入式实战攻击的方法,讲解详细,很适合菜鸟
SQL Injection问题在ASP上闹得沸沸扬扬,php也不免于难。为此我们也会采取一些防范。通过具体实例来描述在php中的mysql的sql注入问题以及怎样去防范。
PHP+Mysql注入攻防实战 新手学习 不错的教材
MYSQL 注入天书,Sqli-labs 使用手册,结合Sqli-labs讲解Mysql注入方法。
MYSQL注入教程,基本步骤及高级步骤整理的一套注入流程。
计算机学习PHP+MySql注入工具,放心用吧'_'
SQLab是一个练习sql注入的平台,本文档介绍了平台搭建方法和每一关的详细讲解。
计算机学习PHP+Mysql注入工具'_'
河马MySQL注入工具v1.1,通过web前端应用获取数据库的内容。 support : UNION support : Error based
国内能看到php+Mysql注入的文章可能比较少,但是如果关注各种WEB程序的漏洞,就可以发 现,其实这些漏洞的文章其实就是一个例子。不过由于国内研究PHP的人比研究ASP的人实在少太 多,所以,可能没有注意,况且PHP的...
这个是许云峰大神写的 要有一些经验的人来用比较合适
mysql 正确清理binlog日志的两种方法
mysql注入提权命令 php类型的网站很多都存在MYSQL注入漏洞,而利用注入来获取权限的方法又多种多样。本文以mysql中支持的SCHEMATA库为例讲述mysql注入高级暴库用户密码