sql注入-请各位大师帮我看看这个.net 4 sql2008的网站有没有漏洞?

问题描述

请各位大师帮我看看这个.net 4 sql2008的网站有没有漏洞?

网站是http://www.smmzj.gov.cn
接公安部门通知,说我的网站存在许多漏洞,大量的SQL注入漏洞,我用webscan.360.cn检测出一个安全漏洞,打了补丁并修复语句后解决,现在检测是100分安全。
并没有注入漏洞,用注入检测工具也没有查出来。可能是我技术不行。
求各位大师帮我检测一下该网站是否存在漏洞?又如何修复?

解决方案

理论上说,没有没有漏洞的程序。市面上的检测软件只不过是针对一些已知的常见的漏洞进行一个检测。而且程序也有误判。

如果你想杜绝sql注入,就不要拼接字符串作为sql,而是用存储过程或者参数

另外sql注入只是一方面,比如你服务器本身的安全,上面各层软件的漏洞等等,包括管理员或者用户自身密码的泄露都会有问题。

解决方案二:

你们公司网站上线不需要安全扫描吗?
防sql注入,把所有参数参数化
SqlParameter[] parameters ={new SlqParameter("@aaa",aaa),new SqlParameter().......}

时间: 2024-11-03 02:43:09

sql注入-请各位大师帮我看看这个.net 4 sql2008的网站有没有漏洞?的相关文章

请各位大师帮我分析一下这是为什么会出现如下的现象

问题描述 import java.lang.reflect.InvocationTargetException;import java.util.ArrayList;import java.util.Date;public class BaiduDemo05 { public static void main(String[] args) throws NoSuchMethodException, IllegalArgumentException, IllegalAccessException,

[求助]请各位大师和版主帮我一下!跪谢!

问题描述 本人刚开始学习.Net,老师让我们用C#编一个程序,但我不怎么会,请各位大师们帮帮忙!1:做一个程序可以输入一个人的名字,生日和电话号,然后这个程序也要可以把这个人的信息显示出来,还要可以搜索这个人.(开始要先建立一个personclass)2:第一题的继续,加上可以找到一个人的年龄.3:继续加上可以输入一个人的身高和体重.(用继承)4:继续加上可以计算一个人的BMI数值.(体重(公斤)除以身高(米)的平方)5:最后要加一个作用,所有输入的人可以显示出来,包括他们的所有数据.(显示的顺

鲜为人知的SQL注入技巧

技巧|sql注入 1.关于Openrowset和Opendatasource2.关于Msdasql两次请求的问题3.可怕的后门        下面我要谈到一些Sqlserver新的Bug,虽然本人经过长时间的努力,当然也有点幸运的 成分在内,才得以发现,不敢一个人独享,拿出来请大家鉴别. 1.关于Openrowset和Opendatasource 可能这个技巧早有人已经会了,就是利用openrowset发送本地命令.通常我们的用 法是(包括MSDN的列子)如下: select * from op

绕过WAF继续SQL注入常用方法

这篇文章之前的名字叫做:WAF bypass for SQL injection #理论篇,我于6月17日投稿了Freebuf.链接:点击这里 现博客恢复,特发此处. Web Hacker总是生存在与WAF的不断抗争之中的,厂商不断过滤,Hacker不断绕过.WAF bypass是一个永恒的话题,不少基友也总结了很多奇技怪招.那今天我在这里做个小小的扫盲吧.先来说说WAF bypass是啥. WAF呢,简单说,它是一个Web应用程序防火墙,其功能呢是用于过滤某些恶意请求与某些关键字.WAF仅仅是

见招拆招:绕过WAF继续SQL注入常用方法

这篇文章之前的名字叫做:WAF bypass for SQL injection #理论篇,我于6月17日投稿了Freebuf.链接:点击这里 现博客恢复,特发此处. Web Hacker总是生存在与WAF的不断抗争之中的,厂商不断过滤,Hacker不断绕过.WAF bypass是一个永恒的话题,不少基友也总结了很多奇技怪招.那今天我在这里做个小小的扫盲吧.先来说说WAF bypass是啥. WAF呢,简单说,它是一个Web应用程序防火墙,其功能呢是用于过滤某些恶意请求与某些关键字.WAF仅仅是

SQL预编译和SQL注入

再说SQL预编译: 最近用go语言时,学习了一下数据库连接的库,这里总结一下SQL预编译相关的知识.貌似网上都是建议使用预编译,我也觉得这种做法靠谱. 先谈 SQL注入: SQL注入攻击指的是通过构建特殊的输入作为参数传入Web应用程序,而这些输入大都是SQL语法里的一些组合,通过让原SQL改变了语义,达到欺骗服务器执行恶意的SQL命令.其主要原因是程序没有细致地过滤用户输入的数据,致使非法数据侵入系统. 其实,反过来考虑,这也是SQL这类解释性语言本身的缺陷,安全和易用性总是相对的.类似的Sh

ASP通用防注入代码.杜绝SQL注入隐患.提升网站安全

ASP通用防注入代码.杜绝SQL注入隐患.提升网站安全 <% '''''''''''''''''''''''''''''''''''''''''''''''' 'ASP通用防注入代码 '您可以把该代码COPY到头文件中.也可以单独作 '为一个文件存在,每次调用使用 '作者:y3gu - 2005-7-29 '''''''''''''''''''''''''''''''''''''''''''''''' Dim GetFlag Rem(提交方式) Dim ErrorSql Rem(非法字符) Di

SQL注入与ASP木马上传

木马|上传 SQL注入后,如何上传木马,一直是比较头疼的事,我这里提供上传木马的一种另一种方法.1.SQL注入的时候,用xp_cmdshell 向服务器上写入一个能写文件的asp文件.文件内容:<%Set objFSO = Server.createObject("Scripting.FileSystemObject")Set objCountFile=objFSO.createTextFile(request("mypath"),True)objCountF

入门:防范SQL注入攻击的新办法

近段时间由于修改一个ASP程序(有SQL注入漏洞),在网上找了很多相关的一些防范办法,都不近人意,所以我将现在网上的一些方法综合改良了一下,写出这个ASP函数,供大家参考. 以下是引用片段: Function SafeRequest(ParaName)  Dim ParaValue  ParaValue=Request(ParaName) if IsNumeric(ParaValue) = True then SafeRequest=ParaValue exit Function elseIf