服务器是 windows server 2008 IIS 7.5 数据库SQL 2005 .Net 3.5 很多地方都用了参数化 就是为了防注入 除了前台的查询 但是查询的参数都考虑到危险 过滤了(我知道过滤不能做到100%防注入) 数据中被插入的注入字符串 如下 IIS 日志 我发现很多x.asp 木马!如下 我通过IIS日志 屏蔽了一些危险的IP 但这个方法 ……
安全做的这么好,是怎么上传上来的? 楼主是不是后台有些地方用来第三方的编辑器而没有做身份验证?(比如fckedit或者CuteEditor)我就遇到过,因为后台编辑器没有做身份验证(可以直接访问编辑器下面的某个功能文件,比如编辑器上传图片的aspx,从而被上传上来木马文件,不过幸亏服务器装的是mcafee,规则设置非常严,上传上来就被删除了)。后来在编辑器目录下面设置w……
引用 19 楼 zouxifeng 的回复:是通过网站注入的还是直接进入的服务器? 网站注入 服务器很安全的!装了各种防火墙
我记得IIS从6.0开始,就默认是不启用asp的,把asp文件传上去也运行不了,你既然是.net开发的网站,干吗要启用asp,而且最后一张图中显示的全是asp文件,不可能这些文件全是攻击者上传的文件吧?
62,046
社区成员
669,049
社区内容
加载中
.NET 社区是一个围绕开源 .NET 的开放、热情、创新、包容的技术社区。社区致力于为广大 .NET 爱好者提供一个良好的知识共享、协同互助的 .NET 技术交流环境。我们尊重不同意见,支持健康理性的辩论和互动,反对歧视和攻击。
希望和大家一起共同营造一个活跃、友好的社区氛围。
试试用AI创作助手写篇文章吧