28,390
社区成员
发帖
与我相关
我的任务
分享高分求解一个ASP安全问题,请有经验的朋友看看,谢谢
我做了一个ASP+SQL Server 的信息发布系统,最近被人恶意破坏,请大家出出主意:
系统放在万网的服务器上,数据库也是万网的.系统里面有个信息发布的公告栏目,和一个新闻列表,这些功能由一些ASP文件控制(信息的发布和新闻的发布,内容在sql server 的表中),只有管理员登陆后才能使用这些功能.有人进入了系统(途径不祥),并修改了新闻内容,由于我在登陆里面加了登陆记录,查看ip地址后发现该人并不是通过登陆入管理界面修改的,下面列出一些伪代码锻:
if isAdmin() then
session("admin")="true";
else
response.redirect("www.sohu.com")
end if
然后在各个ASP页面里面都用该方法判断用户是否是管理员,(包括那些执行insert ,update,delete的asp页面),清大家帮忙看看
系统放在万网的服务器上,数据库也是万网的.系统里面有个信息发布的公告栏目,和一个新闻列表,这些功能由一些ASP文件控制(信息的发布和新闻的发布,内容在sql server 的表中),只有管理员登陆后才能使用这些功能.有人进入了系统(途径不祥),并修改了新闻内容,由于我在登陆里面加了登陆记录,查看ip地址后发现该人并不是通过登陆入管理界面修改的,下面列出一些伪代码锻:
if isAdmin() then
session("admin")="true";
else
response.redirect("www.sohu.com")
end if
然后在各个ASP页面里面都用该方法判断用户是否是管理员,(包括那些执行insert ,update,delete的asp页面),清大家帮忙看看
...全文
请发表友善的回复…
发表回复
xiaoluo 2003-08-25
- 打赏
- 举报
如果哪位有高见可以继续发表啊
xiaoluo 2003-08-25
- 打赏
- 举报
谢谢各位,尤其是vivisogood和wolf,luok等人,谢谢
另外to luok:
我的insert,update等都做了权限的验证,无法直接运行
另外to luok:
我的insert,update等都做了权限的验证,无法直接运行
lions911 2003-08-25
- 打赏
- 举报
既然不是登陆进去的,就是直接用企业管理器进入的SQLSERVER。
是不是将密码泄露了?
是不是将密码泄露了?
vivisogood 2003-08-25
- 打赏
- 举报
有傻逼就是这样的 http://www.zzb.sz.gov.cn/include/function0101.inc
vivisogood 2003-08-25
- 打赏
- 举报
今天有点忙。不能帮你仔细分析了。如果方便留下web地址
vivisogood 2003-08-25
- 打赏
- 举报
luok说的很有道理
不过我觉得有经验的程序员都判断了。
不过我觉得有经验的程序员都判断了。
andy2001p 2003-08-25
- 打赏
- 举报
好象问题不是这么简单!
xiaoluo 2003-08-25
- 打赏
- 举报
to luok:
然后在各个ASP页面里面都用该方法判断用户是否是管理员,(包括那些执行insert ,update,delete的asp页面)
还有其他问题..
??是否可以明说?谢谢(除了replace以外)
然后在各个ASP页面里面都用该方法判断用户是否是管理员,(包括那些执行insert ,update,delete的asp页面)
还有其他问题..
??是否可以明说?谢谢(除了replace以外)
luok 2003-08-25
- 打赏
- 举报
你看看是不是他没有登陆而直接执行了insert ,update,delete
所有执行insert ,update,delete的也面,都要验证,而你的ISADMIN.ASP,还有其他问题..
另外,马上更改登陆入口,更改执行insert ,update,delete的ASP文件名.
所有执行insert ,update,delete的也面,都要验证,而你的ISADMIN.ASP,还有其他问题..
另外,马上更改登陆入口,更改执行insert ,update,delete的ASP文件名.
lindexter 2003-08-25
- 打赏
- 举报
你可以分两次查询:
先查询是否有这个用户,然后再查询密码是否正确,不过还是得先用replace过滤掉单引号和
双引号,这样就可以避免or 1=1的漏洞.
注意:同时还要过滤掉%等字符.
先查询是否有这个用户,然后再查询密码是否正确,不过还是得先用replace过滤掉单引号和
双引号,这样就可以避免or 1=1的漏洞.
注意:同时还要过滤掉%等字符.
vivisogood 2003-08-25
- 打赏
- 举报
如果是非技术入侵就没办法了。
最恐怖的入侵就是内部人员泄漏!不过我认为他能开托管服务的话也不会做的这么出格。
有种可能是他们用pcanywhere 或 termint client 管理服务器。密码给人猜到或跑出来了! 最好是你们和服务器托管商联系叫他们把服务器密码改一下可以用户停掉。 再重新社ftp 密码 sqlserver 密码最好是不要用sa做用户名。 然后再看看有没有问题
最恐怖的入侵就是内部人员泄漏!不过我认为他能开托管服务的话也不会做的这么出格。
有种可能是他们用pcanywhere 或 termint client 管理服务器。密码给人猜到或跑出来了! 最好是你们和服务器托管商联系叫他们把服务器密码改一下可以用户停掉。 再重新社ftp 密码 sqlserver 密码最好是不要用sa做用户名。 然后再看看有没有问题
xiaoluo 2003-08-25
- 打赏
- 举报
各位,如果那位可以解决我请客哦,最好在上海,^_^
wolf004 2003-08-25
- 打赏
- 举报
现在的黑客是越来越历害了~!!!防不胜防啊~!
KUMOZAKI 2003-08-25
- 打赏
- 举报
万网已经有很多人投诉过了,大家不要再上当去用它,真的是不好,它们的管理员的操守...
不过我也是听人说的,自已没有用过,所以不敢妄加评论。
不过我也是听人说的,自已没有用过,所以不敢妄加评论。
xiaoluo 2003-08-25
- 打赏
- 举报
各位兄弟,我好久不写asp了,手生了,大家帮忙看看
vivisogood 2003-08-25
- 打赏
- 举报
我的qq :337968
msn: pkboysy@hotmail.com
msn: pkboysy@hotmail.com
vivisogood 2003-08-25
- 打赏
- 举报
大哥
select * from tab where username='username' and password='password' or '1'='1'
用了Replace(str,"'","''") 就不灵了。 楼主不是傻子也是有经验的。问题不在这里
select * from tab where username='username' and password='password' or '1'='1'
用了Replace(str,"'","''") 就不灵了。 楼主不是傻子也是有经验的。问题不在这里
xiaoluo 2003-08-25
- 打赏
- 举报
to wolf004 :
老兄说得没错,但是我这样写,非法用户还是能够进去
if request.form("name")<>"admin" and request.form("pass")<>"password" then
response.redirect("www.sohu.com")
end if
老兄说得没错,但是我这样写,非法用户还是能够进去
if request.form("name")<>"admin" and request.form("pass")<>"password" then
response.redirect("www.sohu.com")
end if
KUMOZAKI 2003-08-25
- 打赏
- 举报
我想问一问diya(风火浪),您是不是风火浪大哥(http://www.lndesign.net/),我想讲:您的留言本做得好好啊!!!!
anita2li 2003-08-25
- 打赏
- 举报
UP
加载更多回复(28)
