28,391
社区成员
发帖
与我相关
我的任务
分享被人攻击,紧急求助!
本人程序为ASP+MSSQL的!
最近发现数据库总给人批量的提交JS的代码!!!
程序没有受到任何破坏,就是不知道怎么数据库内容总给人能批量的提交了带有<script....>的代码!!
例如内容为“你好啊”,就变为“你好啊<script....>”,后面都给更新了这代码进去了!
包括老数据,全部一次性的给人这样的弄了!!!
是什么问题????如何办??
谢谢!!
最近发现数据库总给人批量的提交JS的代码!!!
程序没有受到任何破坏,就是不知道怎么数据库内容总给人能批量的提交了带有<script....>的代码!!
例如内容为“你好啊”,就变为“你好啊<script....>”,后面都给更新了这代码进去了!
包括老数据,全部一次性的给人这样的弄了!!!
是什么问题????如何办??
谢谢!!
...全文
请发表友善的回复…
发表回复
llq200 2009-12-22
- 打赏
- 举报
看一下,你上专图片的文件夹里有没有ASP的文件,还有就是把图片都下下来,然后缩略图看一下,哪些图片是空白的,把它删了!。再就是服务器上与你网站在同一盘符下的其它网站中招了,这样也可以注入你的网站。不要迷信SQL防注入功能,那只对那些刚入门只会用一些低级黑客软件的人有用。
muguazhanfang1 2009-12-22
- 打赏
- 举报
最大的可能是上传的漏洞,进而找到了你的其他东西。
这个可以从空间方面设定,比如关闭的相关权限就可以防止这一点
这个可以从空间方面设定,比如关闭的相关权限就可以防止这一点
FLY 2009-12-22
- 打赏
- 举报
看不懂,纯想分的.
_老吴 2009-12-22
- 打赏
- 举报
1、在conn文件,也就是数据库连接文件开始的地方加上以下代码:
'用于防止sql注入
Dim AllStr,Str,ComeUrlGet,ComeUrlPost,sGet,sPost,i
AllStr="'|;|and|chr(|exec|insert|select|delete from|update|mid(|master."
ComeUrlPost=request.Form
str=Split(AllStr,"|")
'post
if ComePost<>""then
for each sPost in request.Form
for i=0 to Ubound(Str)
if Instr(LCase(Request.Form(sPost)),Str(i))<>0 then
Response.Write("请勿使用非法途径进入本站!")
response.End()
end if
next
next
end if
'get
if ComePost<>""then
for each sPost in request.Form
for i=0 to Ubound(Str)
if Instr(LCase(Request.Form(sGet)),Str(i))<>0 then
Response.Write("请勿使用非法途径进入本站!")
response.End()
end if
next
next
end if
这个是过滤注入字符的!
2、处理你页面传值时的参数用替换的方法把危险的字符去掉。你可以直接用下面的函数处理
Public function HTMLcode(fString)
if not isnull(fString) then
fString = Replace(fString, ">", ">")
fString = Replace(fString, "<", "<")
fString = Replace(fString, CHR(32), " ")
fString = Replace(fString, CHR(9), " ")
fString = Replace(fString, CHR(34), """)
fString = Replace(fString, CHR(39), "'")
fString = Replace(fString, CHR(13), "")
fString = Replace(fString, CHR(10) & CHR(10), "</P><P> ")
fString = Replace(fString, CHR(10), "<BR> ")
HTMLcode = fString
end if
end function
3、将你的数据库文件后缀名改掉,防止别人猜到你的地址,将你的数据库下下来!
4、下个测漏洞的软件测一下测一下!如果找不到可以联系我:qq:582955596或者:949346928
'用于防止sql注入
Dim AllStr,Str,ComeUrlGet,ComeUrlPost,sGet,sPost,i
AllStr="'|;|and|chr(|exec|insert|select|delete from|update|mid(|master."
ComeUrlPost=request.Form
str=Split(AllStr,"|")
'post
if ComePost<>""then
for each sPost in request.Form
for i=0 to Ubound(Str)
if Instr(LCase(Request.Form(sPost)),Str(i))<>0 then
Response.Write("请勿使用非法途径进入本站!")
response.End()
end if
next
next
end if
'get
if ComePost<>""then
for each sPost in request.Form
for i=0 to Ubound(Str)
if Instr(LCase(Request.Form(sGet)),Str(i))<>0 then
Response.Write("请勿使用非法途径进入本站!")
response.End()
end if
next
next
end if
这个是过滤注入字符的!
2、处理你页面传值时的参数用替换的方法把危险的字符去掉。你可以直接用下面的函数处理
Public function HTMLcode(fString)
if not isnull(fString) then
fString = Replace(fString, ">", ">")
fString = Replace(fString, "<", "<")
fString = Replace(fString, CHR(32), " ")
fString = Replace(fString, CHR(9), " ")
fString = Replace(fString, CHR(34), """)
fString = Replace(fString, CHR(39), "'")
fString = Replace(fString, CHR(13), "")
fString = Replace(fString, CHR(10) & CHR(10), "</P><P> ")
fString = Replace(fString, CHR(10), "<BR> ")
HTMLcode = fString
end if
end function
3、将你的数据库文件后缀名改掉,防止别人猜到你的地址,将你的数据库下下来!
4、下个测漏洞的软件测一下测一下!如果找不到可以联系我:qq:582955596或者:949346928
chong6 2009-12-21
- 打赏
- 举报
没有WebEditor编辑器!!!
数据库密码也改了,就是注入问题,怎么没人能帮解决注入的问题?
数据库密码也改了,就是注入问题,怎么没人能帮解决注入的问题?
一把编程的菜刀 2009-12-21
- 打赏
- 举报
不用想,应该是给人注入了
最坏的可能就是已经拿到你的SQL密码,那想怎么更新就怎么更新
最坏的可能就是已经拿到你的SQL密码,那想怎么更新就怎么更新
song376456 2009-12-21
- 打赏
- 举报
不理解 WebEditor 这个东西
rcsglydm 2009-12-21
- 打赏
- 举报
所有页面加SESSION判断,最好将网页加密.
_老吴 2009-12-21
- 打赏
- 举报
还有一种可能就是你后台编辑器有漏洞!用的是不是WebEditor啊
lymyx 2009-12-21
- 打赏
- 举报
被注入有上传漏洞。
gingerkang 2009-12-21
- 打赏
- 举报
问题就是你的程序存在问题,修改程序,对所有接收的参数作检查.
chong6 2009-12-21
- 打赏
- 举报
说说解决办法啊,不要光说问题
一把编程的菜刀 2009-12-21
- 打赏
- 举报
应该是知道了你的mssql数据库密码了,不经过程序的,有可能数据库方面有漏洞
alianghao 2009-12-21
- 打赏
- 举报
可能是数据库访问权限被人知道了
chong6 2009-12-21
- 打赏
- 举报
我搜索了,也知道是给人注入了!!!
但是MSSQL数据库得如何防止注入啊????
谁有代码啊???
我本来ACCESS数据库是用
<%
spl1str = "'|;|and|exec|insert|select|update|count|*|%|chr|master|truncate|char|declare|<|>|[|]|="
spl2str = split(spl1str,"|")
if request.querystring<>"" then
for each spl3str in request.querystring
for spl4str = 0 to ubound(spl2str)
if instr(lcase(request.querystring(spl3str)),spl2str(spl4str))<>0 then
response.Write"<script language=javascript>alert(' 您的IP已提交至数据库!\n\n做坏事,睡觉时请摸下自己良心!\n\n别无聊了兄弟,做点正经事吧,别侮辱自己的技术!');this.location.href='index.asp';</script>"
response.end
end if
next
next
end if
%>
但是在MSSQL无法用!!!!!!!!!!!!!!!!!!!
但是MSSQL数据库得如何防止注入啊????
谁有代码啊???
我本来ACCESS数据库是用
<%
spl1str = "'|;|and|exec|insert|select|update|count|*|%|chr|master|truncate|char|declare|<|>|[|]|="
spl2str = split(spl1str,"|")
if request.querystring<>"" then
for each spl3str in request.querystring
for spl4str = 0 to ubound(spl2str)
if instr(lcase(request.querystring(spl3str)),spl2str(spl4str))<>0 then
response.Write"<script language=javascript>alert(' 您的IP已提交至数据库!\n\n做坏事,睡觉时请摸下自己良心!\n\n别无聊了兄弟,做点正经事吧,别侮辱自己的技术!');this.location.href='index.asp';</script>"
response.end
end if
next
next
end if
%>
但是在MSSQL无法用!!!!!!!!!!!!!!!!!!!
