返回首页 设为首页              资源已找到,加载中...... 请稍等!          网站地图google地图百度地图同行旅游RSS |

  资讯>|新闻|人物访谈|新手教程|网络营销|互联网络|站长故事|网站设计|网络应用|

  分类>|百度推广|谷歌推广|腾讯推广|必应推广|雅虎|搜狗|搜索|炒作|软文|博客|综合|

  目录>|推广故事|域名空间|故事|编程|合作|休闲|人才|招聘|论坛|博客|站长|休闲|

>> | 设为首页 | 加入收藏 |

给大家分享网站防注入的常用手段
   点击数:198  更新时间:2015-1-15 18:26:06
  网站被注入对网站的运营来说是很伤的,对于SEO来说也是很致命的,今天给大家分享网站防注入的常用手段。
  大家好,我是微笑话网的站长-三卷天书,一个地地道道的程序员,现在呆一公司给他们负责网站维护,公司的网站是十年前搭建起来的,拿别人弄的模板源码直接套用,看到这么一个网站,我也是醉了,十年前的源码,通篇不带一个注释,而且还把一些功能源码给封装起来,数据库里面70%的表是没有用到的,而且网站频频被注入,我接手后进服务器一看,傻眼了,服务器什么防护措施都没有,就一个可有可无的网络防火墙。这不是摆明了给heike他们机会吗?于是接下来的日子就是搞服务器安全,每天查看是否被注入,备份,然后还原,水深火热啊,废话不多说,接下来回归正题:
  网站常见的注入形式
  URL注入:
  最近查看了微笑话网生成的网站地图,发现了很多想利用网址参数进行注入的,几乎是每时每刻都有,上图给大家看看:
  域名后面的一串类似于乱码的字符就是heike的常用注入方式,也就是利用网站地址注入。
  利用输入框注入:
  这种注入方式多数出于网站的搜索、注册、登陆等功能,因为这个功能的输入是字符串类型,也就是说你在搜索框输入任何字符,都是进行跟数据库匹配查询,然后返回结果。就比如微笑话网的搜索页,也有一堆人要注入:
  IIS注入:这个我了解不深,就不加以解释,免得误导大家可不好。
  其实上面所说的注入其根本原因就是因为参数过滤不严谨导致的,微笑话网所用的方法为:
  一些ID之类的参数要进行验证是否为整形,也就是所谓的123这些自然数,把接收到的参数强转为整形,转换不成功则抓取异常,跳转到设定的错误页面或者其他操作。
  字符串参数的过滤:
  过滤掉SQL语句的关键字符,控制参数字符长度,注入一般都是要形成一句sql语句,都是比较长的句子,如果你把传递的参数只截取前面的30个字符,基本上大多数的注入都会被你拒之门外的,微笑话网就是以此手段进行过滤,大家可以拿来参考参考。

  • 上一篇文章:

  • 下一篇文章:
  • 【字体:
      网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!)
    相 关 文 章
    没有相关文章
    最 新 推 荐

    Copyright © 2005 - 2011 建站流程网 chczz.com All rights reserved. 联系邮箱:chczzcom#163.com
    中国信息产业部备案编号:渝ICP备09029879号-2
    本站全部资源来自于互联网,只供学习,不得用于商业,如有侵犯版权请联系告知,来信请务必附上版权申明及相关证据,我们将第一时间删除.