快捷搜索:   nginx

注入点的修复教程

 怎么拿后台就不讲了 大家都会 为了这个网站的安全 地址我就屏蔽了 你也不用去找注入点了 我已经修复了 

我们是保护网络安全 不是破坏 所以请大家见谅
首先我们在新闻里插入一句话
然后备份菜刀连接http://www.xxxx.net/admin/Databackup/3.asp 
下面我们找到我们注入漏洞的文件,在文件的顶部加上我们的防注入代码 CompHonorBig.asp这个文件里 http://www.xxxx.net/CompHonorBig.asp?id=35 <% 'Dim yisenceinje_Post,yisenceinje_Get,yisenceinje_In,yisenceinje_Inf,yisenceinje_Xh,yisenceinje_db,yisenceinje_dbstr
'您可以在yisenceinje_In中新增要过滤的参数,用#号隔开 yisenceinje_In = ''#;#and#exec#insert#select#delete#update#count#chr#mid#master#truncate#char#declare' yisenceinje_Inf = split(yisenceinje_In,'#')
'判断post参数 If Request.Form<>'' Then StopInjection(Request.Form) '判断get参数 If Request.QueryString<>'' Then StopInjection(Request.QueryString) '判断cookies参数 If Request.Cookies<>'' Then StopInjection(Request.Cookies)

Function StopInjection(values) For Each yisenceinje_Get In values For yisenceinje_Xh=0 To Ubound(yisenceinje_Inf) If Instr(LCase(values(yisenceinje_Get)),yisenceinje_Inf(yisenceinje_Xh))<>0 Then Response.Write '<Script Language=JavaScript>alert('中搜科技提示你:\n\n请不要在参数中包含非法字符。');</Script>' Response.Write '非法操作!系统已经记录下来你的当前操作:<br>' Response.Write '操作IP:'&Request.ServerVariables('REMOTE_ADDR')&'<br>' Response.Write '操作时间:'&Now&'<br>' Response.Write '操作页面:'&Request.ServerVariables('URL')&'<br>' Response.Write '提交数据:'&values(yisenceinje_Get) Response.End End If Next Next End Function %>
OK 现在我们去访问注入点就没有了 
这个只是单个文件的防注入 多防注入的方法是:我们可以看一下代码 看他调用了那个文件 比如这个注入点的文件调用了INC文件夹下的CONN.ASP 那么我们直接把代码加在CONN.ASP的文件夹顶部就可以了
顶(0)
踩(0)

您可能还会对下面的文章感兴趣:

最新评论