asp.net防注入代码(aspnet core 注入)
admin 发布:2022-12-19 15:44 131
本篇文章给大家谈谈asp.net防注入代码,以及aspnet core 注入对应的知识点,希望对各位有所帮助,不要忘了收藏本站喔。
本文目录一览:
asp.net做图片上传如何防注入攻击?
访问了Request.Form 变量之后,数据就 全部加载完了, 不能调用 BinaryRead 没有意义。检查一下代码,是否在BinaryRead函数调用之前又 写了访问Request 的语句
可是试试这种做法:
你可以把注入写成一个函数来调用,如果需要注入就调用函数,我一般都是这样调用的。
例如:需要防注入的参数:
%
aa=request("aa")
safe(aa)
%
下面safe函数供你参考:
function Safe(str)
dim sql_Chk_Post,sql_Chk_Get,sql_Chk_In,sql_Chk_Inf,sql_Chk_Xh,sql_Chk_db,sql_Chk_dbstr,sql_Chk_Err
sql_Chk_Err = false
sql_Chk_In = "'|;|exec|insert|select|from|delete|drop|table|db_name|update|count|*|%|chr|mid|master|truncate|char|declare"
sql_Chk_Inf = split(sql_Chk_In,"|")
sql_Chk_Post=str
sql_Chk_Get=str
'--------POST部份------------------
If Request.Form "" Then
For Each sql_Chk_Post In Request.Form
For sql_Chk_Xh=0 To Ubound(sql_Chk_Inf)
If Instr(LCase(Request.Form(sql_Chk_Post)),sql_Chk_Inf(sql_Chk_Xh)) 0 Then
sql_Chk_Err = true
alertError(sql_Chk_Post)
End If
Next
Next
Safe=sql_Chk_Err
End If
'--------GET部份-------------------
If Request.QueryString "" Then
For Each sql_Chk_Get In Request.QueryString
For sql_Chk_Xh=0 To Ubound(sql_Chk_Inf)
If Instr(LCase(Request.QueryString(sql_Chk_Get)),sql_Chk_Inf(sql_Chk_Xh)) 0 Then
sql_Chk_Err = true
alertError(sql_Chk_Get)
End If
Next
Next
End If
'-------------------------------------
end function
'----------------------------处理非法的信息添加到数据库------------------------
function alertError(byval sql_Chk_Date)
'---------------------------把非法提交信息写入数据库--------------------------
set rs=server.createobject("ADODB.Recordset")
sql="select * from errorinfo order by id desc"
rs.open sql,conn,1,3
rs.addnew
rs("userip")=Request.ServerVariables("REMOTE_ADDR")'获得攻击用户的IP地址
rs("loginDate")=now'攻击用户登陆时间
rs("operate_page")=Request.ServerVariables("URL")'攻击操作的页面信息
rs("send_var")=sql_Chk_Date'提交参数内容
rs("send_data")=Request(sql_Chk_Date)'提交的数据信息
rs("AddTime")=now
rs.update
rs.close
Response.Write " Script Language=JavaScriptalert(' 系统提示↓\n\n请不要在参数中包含非法字符!');history.back(); /Script"
Response.End
'---------------------------记录完毕------------------------------------------
End function
求ASP防注入的办法
如果获取的是id的话防注入可以这样操作
%id=request("id")
if id"" then
if not isnumeric(id) then
response.write "参数错误!"
respone.end
else
id=int(id)
end if
else
response.write "参数不能为空!"
response.end
end if
%
如果是字符的话可以采用如下代码:
%
dim qs,errc,iii
qs=request.servervariables("query_string")
dim nothis(18)
nothis(0)="net user"
nothis(1)="xp_cmdshell"
nothis(2)="/add"
nothis(3)="exec%20master.dbo.xp_cmdshell"
nothis(4)="net localgroup administrators"
nothis(5)="select"
nothis(6)="count"
nothis(7)="asc"
nothis(8)="char"
nothis(9)="mid"
nothis(10)="'"
nothis(11)=":"
nothis(12)=""""
nothis(13)="insert"
nothis(14)="delete"
nothis(15)="drop"
nothis(16)="truncate"
nothis(17)="from"
nothis(18)="and user0"
errc=false
for iii= 0 to ubound(nothis)
if instr(qs,nothis(iii))0 then
errc=true
end if
next
if errc then
response.write("对不起,非法URL地址请求!!")
response.end
end if
%
建议两个一起用
ASP.NET如何防止SQL注入
ASP.NET如何防止SQL注入
一、什么是SQL注入式攻击?
所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如:
⑴ 某个ASP.NET Web应用有一个登录页面,这个登录页面控制着用户是否有权访问应用,它要求用户输入一个名称和密码。
⑵ 登录页面中输入的内容将直接用来构造动态的SQL命令,或者直接用作存储过程的参数。下面是ASP.NET应用构造查询的一个例子:
System.Text.StringBuilder query = new System.Text.StringBuilder(”select * from Users where login = ’”)。Append(txtLogin.Text)。Append(”’ AND password=’”)。Append(txtPassword.Text)。Append(”’”);
⑶ 攻击者在用户名字和密码输入框中输入”’或’1’=’1″之类的内容。
⑷ 用户输入的内容提交给服务器之后,服务器运行上面的ASP.NET代码构造出查询用户的SQL命令,但由于攻击者输入的内容非常特殊,所以最后得到的 SQL命令变成:select * from Users where login = ’’ or ’1’=’1’ AND password = ’’ or ’1’=’1’.
⑸ 服务器执行查询或存储过程,将用户输入的身份信息和服务器中保存的身份信息进行对比。
⑹ 由于SQL命令实际上已被注入式攻击修改,已经不能真正验证用户身份,所以系统会错误地授权给攻击者。
如果攻击者知道应用会将表单中输入的内容直接用于验证身份的查询,他就会尝试输入某些特殊的SQL字符串篡改查询改变其原来的功能,欺骗系统授予访问权限。
系统环境不同,攻击者可能造成的损害也不同,这主要由应用访问数据库的安全权限决定。如果用户的帐户具有管理员或其他比较高级的权限,攻击者就可能对数据库的表执行各种他想要做的操作,包括添加、删除或更新数据,甚至可能直接删除表。
二、如何防范?
好在要防止ASP.NET应用被SQL注入式攻击闯入并不是一件特别困难的事情,只要在利用表单输入的内容构造SQL命令之前,把所有输入内容过滤一番就可以了。过滤输入内容可以按多种方式进行。
⑴ 对于动态构造SQL查询的场合,可以使用下面的技术:
第一:替换单引号,即把所有单独出现的单引号改成两个单引号,防止攻击者修改SQL命令的含义。再来看前面的例子,”select * from Users where login = ’’’ or ’’1’’=’’1’ AND password = ’’’ or ’’1’’=’’1’”显然会得到与”select * from Users where login = ’’ or ’1’=’1’ AND password = ’’ or ’1’=’1’”不同的结果。
第二:删除用户输入内容中的所有连字符,防止攻击者构造出类如”select * from Users where login = ’mas’ —— AND password =’’”之类的查询,因为这类查询的后半部分已经被注释掉,不再有效,攻击者只要知道一个合法的用户登录名称,根本不需要知道用户的.密码就可以顺利获得访问权限。
第三:对于用来执行查询的数据库帐户,限制其权限。用不同的用户帐户执行查询、插入、更新、删除操作。由于隔离了不同帐户可执行的操作,因而也就防止了原本用于执行select命令的地方却被用于执行insert、update或delete命令。
⑵ 用存储过程来执行所有的查询。SQL参数的传递方式将防止攻击者利用单引号和连字符实施攻击。此外,它还使得数据库权限可以限制到只允许特定的存储过程执行,所有的用户输入必须遵从被调用的存储过程的安全上下文,这样就很难再发生注入式攻击了。
⑶ 限制表单或查询字符串输入的长度。如果用户的登录名字最多只有10个字符,那么不要认可表单中输入的10个以上的字符,这将大大增加攻击者在SQL命令中插入有害代码的难度。
⑷ 检查用户输入的合法性,确信输入的内容只包含合法的数据。数据检查应当在客户端和服务器端都执行——之所以要执行服务器端验证,是为了弥补客户端验证机制脆弱的安全性。
在客户端,攻击者完全有可能获得网页的源代码,修改验证合法性的脚本(或者直接删除脚本),然后将非法内容通过修改后的表单提交给服务器。因此,要保证验证操作确实已经执行,唯一的办法就是在服务器端也执行验证。你可以使用许多内建的验证对象,例如 RegularExpressionValidator,它们能够自动生成验证用的客户端脚本,当然你也可以插入服务器端的方法调用。如果找不到现成的验证对象,你可以通过CustomValidator自己创建一个。
⑸ 将用户登录名称、密码等数据加密保存。加密用户输入的数据,然后再将它与数据库中保存的数据比较,这相当于对用户输入的数据进行了”消毒”处理,用户输入的数据不再对数据库有任何特殊的意义,从而也就防止了攻击者注入SQL命令。 System.Web.Security.FormsAuthentication类有一个 HashPasswordForStoringInConfigFile,非常适合于对输入数据进行消毒处理。
⑹ 检查提取数据的查询所返回的记录数量。如果程序只要求返回一个记录,但实际返回的记录却超过一行,那就当作出错处理。
;
asp.net防注入代码的介绍就聊到这里吧,感谢你花时间阅读本站内容,更多关于aspnet core 注入、asp.net防注入代码的信息别忘了在本站进行查找喔。
版权说明:如非注明,本站文章均为 AH站长 原创,转载请注明出处和附带本文链接;
- 上一篇:网站安全代码(网站安全代码怎么查)
- 下一篇:贪吃蛇小程序源代码(贪吃蛇开源代码)
相关推荐
- 05-09网页代码,网页代码快捷键
- 05-06单页网站的代码(完整的网页代码)[20240506更新]
- 05-06个人主页图片代码(个人主页图片代码怎么弄)[20240506更新]
- 05-06提取微信名片代码(微信名片信息提取)[20240506更新]
- 05-06php后台权限管理代码(php管理员权限)[20240506更新]
- 05-06付费观看代码php(付费观看代码)[20240506更新]
- 05-06在线html执行代码(html怎么运行)[20240506更新]
- 05-06源代码管理资源管理器(资源管理器运行代码)[20240506更新]
- 05-06代码源软件库(程序代码库)[20240506更新]
- 05-06点击弹出密码代码(点击弹出密码代码错误)[20240506更新]
取消回复欢迎 你 发表评论:
- 标签列表
- 最近发表
- 友情链接