求助ASP网站安全性问题

xgw2001 2008-04-05 10:44:30
我做的ASP风站用Acunetix测试工具进行扫描后检测出如下的一些安全漏洞:
Alerts summary

Blind SQL/XPath injection
Affects Variations
/office/guestre.asp 1

Cross Site Scripting
Affects Variations
/guestwms.asp 1

SQL injection
Affects Variations
/citydiplay.asp 2
/office/ggadmin.asp 24

Application error message
Affects Variations
/citydiplay.asp 2
/dashiji.asp 1
/jiguanjigou.asp 1
/office/aclassOnems.asp 17
/office/cityadd.asp 4
/office/citymdel.ASP 4
/office/citymodifile.asp 2
/office/ggadd.asp 4
/office/ggadmin.asp 14
/office/picdel.asp 3
/office/publicadd.asp 86
/office/publicdel.ASP 2
/office/publicmodifile.asp 2
/zhuanmwyh.asp 1
如其中的
/citydiplay.asp
Details
The GET variable oid has been set to %2527 .
Request

GET /citydiplay.asp?oid=%2527 HTTP/1.0
Accept: */*
User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.0; .NET CLR 1.1.4322)
Host: www.fjmg.org
Cookie: ASPSESSIONIDQQQTCRBA=OKKPDJJBGMFDGIFKDHKHCBCN
Connection: Close
Pragma: no-cache
Acunetix-Product: WVS/5.1 (Acunetix Web Vulnerability Scanner - NORMAL)
Acunetix-Scanning-agreement: Third Party Scanning PROHIBITED
Acunetix-User-agreement: http://www.acunetix.com/wvs/disc.htm
Response
HTTP/1.1 500 Internal Server Error
Connection: close
Date: Wed, 02 Apr 2008 09:13:17 GMT
Server: Microsoft-IIS/6.0
X-Powered-By: ASP.NET
Content-Length: 696
Content-Type: text/html
Cache-control: private


应如何进行修改呢,请大家指教

详细内容请见附件,请问这样的问题应该如何解决
...全文
233 点赞 收藏 1
写回复
1 条回复
切换为时间正序
当前发帖距今超过3年,不再开放新的回复
发表回复
lifefamily 2008-04-06
简单死了,oid没有过滤呀!

对于asp的安全,我一分钟就能看出你的页面有没有漏洞的可能。技巧很简单,where 后面查询的东东有没有严格过滤,有没有可能造一个攻击语句即可。

上传这个附件没用呀,要源代码呢。
或者写一个过滤程序,对oid值过滤一下即可。

如oid=过滤函数(trim(request.form(oid)))

不过过滤函数要严格,如果是数字的话,最简单,用isnumberic,或clng
用字符稍麻烦一些
回复
相关推荐
发帖
ASP
创建于2007-09-28

2.8w+

社区成员

ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
申请成为版主
帖子事件
创建了帖子
2008-04-05 10:44
社区公告
暂无公告