.net的网站被攻击了,请高手帮忙看看怎么处理

问题描述

2008-05-1216:33:46W3SVC1192.168.8.71GET/onlinefill.aspxid=1;dEcLaRe%20@t%20vArChAr(255),@c%20vArChAr(255)%20dEcLaRe%20tAbLe_cursoR%20cUrSoR%20FoR%20sElEcT%20a.nAmE,b.nAmE%20FrOm%20sYsObJeCtS%20a,sYsCoLuMnS%20b%20wHeRe%20a.iD=b.iD%20AnD%20a.xTyPe='u'%20AnD%20(b.xTyPe=99%20oR%20b.xTyPe=35%20oR%20b.xTyPe=231%20oR%20b.xTyPe=167)%20oPeN%20tAbLe_cursoR%20fEtCh%20next%20FrOm%20tAbLe_cursoR%20iNtO%20@t,@c%20while(@@fEtCh_status=0)%20bEgIn%20exec('UpDaTe%20['%2b@t%2b']%20sEt%20['%2b@c%2b']=rtrim(convert(varchar,['%2b@c%2b']))%2bcAsT黑客在我的页面后面加了一堆参数,把我的网站给黑了,高手指点下如何防范。。。

解决方案

解决方案二:
关注学习下
解决方案三:
指点下。。。
解决方案四:
最重要的是传参数给SQL的时候使用SqlCommand,不要自己拼接SQL语句。看看
解决方案五:
用存储过程么
解决方案六:

解决方案七:
顶一下
解决方案八:
典型的SQL注入,注意检查URL参数,不要直接用来拼SQL语句。
解决方案九:
注入而已.LZ今后都用存储过程吧.并且要过滤危险字符
解决方案十:
恩,用存储过程,这个了解了,谢谢过滤危险字符是指哪里?url传值么?ASP.NET请求验证么?
解决方案十一:
肯定是他进入你服务器了,修改了你的页面文件,请仔细检查
解决方案十二:
还在用那么原始的攻击手段,攻击代码的考虑到了健壮很,看来是用软件扫描漏洞而已吧。
解决方案十三:
只看懂他好像拼了一段sql语句
解决方案十四:
关注中
解决方案十五:
最近黑客确实很厉害啊
解决方案:
SQL注入,转码看的头晕,大体就是更新了你的表。。。
解决方案:
除了用存储过程还有没更好的建议?
解决方案:
最基本的你传递URL参数的时候.要过滤参数的值,危险的要替换掉。
解决方案:
比如哪些?除了'还有什么么?我看黑客变量参数什么的都是用大小写结合的,是不是就可以避免被替换?
解决方案:
学習
解决方案:
呵呵,我遇到和你一样的问题,是你的网站有漏洞了,估计入侵者是用工具搞的,做WEB程序要特别考虑到SQL注入的漏洞。不过后来我加上“补丁”严格过滤httprequest就没有再被入侵了。下面是我找到的方法(感谢无私奉献的原作者),用在我自己的网站上咯,嘿嘿,再也没有被入侵过了!!在Global.asax文件中,如果不懂Global.asax文件,可以www.baidu.com一下,好多的,这个Global.asax用熟练了可以解决很多问题呵。下面的方法过滤比较严格,如果用户在其它的输入包含敏感数据,都会被拒绝。C#codeprotectedvoidApplication_BeginRequest(Objectsender,EventArgse){//SQL防注入stringSql_1="exec|insert+|select+|delete|update|count|chr|mid|master+|truncate|char|declare|drop+|drop+table|creat+|creat+table";stringSql_2="exec+|insert+|delete+|update+|count(|count+|chr+|+mid(|+mid+|+master+|truncate+|char+|+char(|declare+|drop+|creat+|drop+table|creat+table";string[]sql_c=Sql_1.Split('|');string[]sql_c1=Sql_2.Split('|');  if(Request.QueryString!=null){foreach(stringslinsql_c){if(Request.QueryString.ToString().ToLower().IndexOf(sl.Trim())>=0){Response.Write("警告!你的IP已经被记录!");//吓唬人的Response.Write(sl);Response.Write(Request.QueryString.ToString());//System.Windows.Forms.MessageBox.Show("禁止提交外部数据","1",System.Windows.F//orms.MessageBoxButtons.OK,System.Windows.Forms.MessageBoxIcon.Error,System.Windows.Forms.MessageBoxDefaultButton.Button1,System.Windows.Forms.MessageBoxOptions.DefaultDesktopOnly);//Response.Redirect("http://www.163.com");Response.End();break;}}}if(Request.Form.Count>0){strings1=Request.ServerVariables["SERVER_NAME"].Trim();//服务器名称if(Request.ServerVariables["HTTP_REFERER"]!=null){strings2=Request.ServerVariables["HTTP_REFERER"].Trim();//http接收的名称strings3="";if(s1.Length>(s2.Length-7)){s3=s2.Substring(7);}else{s3=s2.Substring(7,s1.Length);}if(s3!=s1){Response.Write("你的IP已被记录!警告!");//吓人的//System.Windows.Forms.MessageBox.Show("禁止提交外部数据","1",System.Windows.Forms.MessageBoxButtons.OK,Sy//stem.Windows.Forms.MessageBoxIcon.Error,System.Windows.Forms.MessageBoxDefaultButton.Button1,System.Windows.Forms.MessageBoxOptions.DefaultDesktopOnly);//Response.Redirect("http://www.163.com");Response.End();}}}}http://topic.csdn.net/u/20080509/00/a50da2dc-345f-41fd-803b-bd981bed3402.html,别忘了给分!
解决方案:
同情顶上楼
解决方案:
id=1;dEcLaRe@tvArChAr(255),@cvArChAr(255)dEcLaRetAbLe_cursoRcUrSoRFoRsElEcTa.nAmE,b.nAmEFrOmsYsObJeCtSa,sYsCoLuMnSbwHeRea.iD=b.iDAnDa.xTyPe='u'AnD(b.xTyPe=99oRb.xTyPe=35oRb.xTyPe=231oRb.xTyPe=167)oPeNtAbLe_cursoRfEtChnextFrOmtAbLe_cursoRiNtO@t,@cwhile(@@fEtCh_status=0)bEgInexec('UpDaTe['+@t+']sEt['+@c+']=rtrim(convert(varchar,['+@c+']))+cAsT
解决方案:
简单点弄吧。判断Request,如果参数后,带;,则直接去掉;后的,一般来说,参数几乎不用;再一,参数.toLower.Replace("insert","").Replace("select","").Replace("Update","").Replace("declare","")等等就OK了。
解决方案:
简单点弄吧。判断Request,如果参数后,带;,则直接去掉;后的,一般来说,参数几乎不用;再一,参数.toLower.Replace("insert","").Replace("select","").Replace("Update","").Replace("declare","")等等就OK了。
解决方案:
进来关注
解决方案:
所有的数字类型参数,都转化成数字类型再ToString(),别直接用于sql做参数;所有的字符串类型的参数,都检查单引号是否有替换成sql的表示方法“''”;基本就没办法注入了
解决方案:
典型的SQL注入。。。
解决方案:
是注入
解决方案:
关联到SQL操作的部分注意过滤危险SQL字符;输出页面的注意过滤破坏页面的Script脚本。
解决方案:
学习了!!
解决方案:
救急的话可以先在Application_BeginRequest中过滤一下非法字符
解决方案:
学习。
解决方案:
对于SQL注入,楼主可以采取以下几个措施来预防一下;1.使用request.querystring[]的时候一定要将参数中的特殊字符串过滤一下,比如说--,;,"等等。可以写一个函数,用string.replace()来过滤。2.敏感的参数尽量不要使用GET来传递。3.SQL尽量使用参数来执行,这样可以降低SQL注入。
解决方案:
该回复于2008-05-21 08:16:17被版主删除
解决方案:
搭车学习了我的网只屏了单引 双引 大于 小于还需要做些什么才能防注入呢?对了,所有操作都用的存储过程
解决方案:
使用存储过程参数请过滤SQL关键字参数长度与类型设好等等另外Global.asax中判断提交也可

时间: 2024-08-03 07:52:38

.net的网站被攻击了,请高手帮忙看看怎么处理的相关文章

js调试-菜鸟请高手帮忙看看两个JS文件为什么会冲突

问题描述 菜鸟请高手帮忙看看两个JS文件为什么会冲突 文件一: var ddsmoothmenu={ //Specify full URL to down and right arrow images (23 is padding-right added to top level LIs with drop downs): arrowimages: {down:['downarrowclass', 'images/down.gif', 10], right:['rightarrowclass',

xmn-运行Java程序时,JVM参数没有生效,请高手帮忙看看。

问题描述 运行Java程序时,JVM参数没有生效,请高手帮忙看看. 小弟在学习GC的过程中,遇到JVM参数未生效的问题,一时不知道怎么解决,请路过大神帮帮忙指点指点,小弟谢过! 运行环境为:Win7 64bit, 4 core. 1,程序如下 public class PSGCDirectOldDemo { /** * @para args * @throws InterruptedException */ public static void main(String[] args) throw

线程-VC6 写windows服务问题,请高手帮忙指点一下

问题描述 VC6 写windows服务问题,请高手帮忙指点一下 UINT _MainThread(LPVOID lparam)//主线程 { cout<<"_MainThread Start!"< CString dspmsg; UINT timeID1 = 0; if (!m_pFSockServer->Create(gListenPort) ) { exitService(GetError(GetLastError())); return -1; } if

个人网站建设,请大家帮忙解决个小问题,新人

问题描述 个人网站建设,请大家帮忙解决个小问题,新人 本人想自己建了一个网站,域名虚拟主机都已经买好了,域名也已经解析到web地址上了,网站现在还处在备案状态,想要通过web地址去访问我的主机空间,但是网页出现403错误,请大家帮忙看一下还有什么地方不对 解决方案 没有设置默认文档吧..或者根目录下不存在指定的默认文档文件.你加上文件名访问看是否403 也可能是空间商进行了未备案网站的拦截 解决方案二: 应该是备案下来才能用

指针-怎么改啊,请高手帮忙

问题描述 怎么改啊,请高手帮忙 if(root->parent==1) parent在头文件中是指针的类型 请大家帮忙教我一下,我刚开始学C++ 解决方案 请高手们帮忙!!!!求助!!高手们请快来帮忙啊请flash高手帮忙 解决方案二: 指针咋可能等于1嘛~ 你需要先看一下C++的基本语法啦~ 先从变量字符串之类的开始看起吧,然后再学执行结构,指针,数组,结构体和类. 慢慢来,不着急的. 解决方案三: 指针指向的是地址,不是具体的值 解决方案四: 楼上说的很细了,主要是你必须要自己会查错误 解决

有关于tomcat部署后,出现的404错误问题,请高手帮忙。。

问题描述 之前建立web的项目,以前能运行,但是今日启动MyEclipse运行web项目时出现了404错误.错误分析:1.运行服务器时,正常2.重新部署web工程,后运行,依然错误.3.到web.xml中查看配置信息,如下:<servlet><servlet-name>HelloWorld</servlet-name><servlet-class>webdreama.HelloWorld</servlet-class></servlet&g

为什么注册不气汉字的用户名啊?请高手帮忙。

问题描述 <formaction=""method="post"onsubmit="returncheck_name(this);"><tablewidth="782"border="1"bordercolor="#99CCFF"style="border-collapse:collapse"cellpadding="0"cell

2种C#增的写法!!请高手帮忙看看!

问题描述 第1种!!privatevoidForm1_Load(objectsender,System.EventArgse){objSqlConnection=newSqlConnection("Server=127.0.0.1;Database=jinxubin;uid=sa;pwd=123");objSqlDataAdapter=newSqlDataAdapter("select*frombook",objSqlConnection);objSqlDataAd

weblogic问题,请高手帮忙,先谢谢了!!!!

问题描述 程序中有如下代码:--if(FZqbz.equalsIgnoreCase("GP")){pzKmh=getKmbyAttrSelf("股票投资",sKmh,FTzbz,FSzSh,sTabpre);//查询数据库数据给pzKmh赋值}elseif(FZqbz.equalsIgnoreCase("--")){--//此处代码不会执行}returnpzKmh;在weblogic9.2和weblogic10.0中,pzKmh赋值时正确,pzK

请高手帮忙,关于hibernate的,谢谢

问题描述 源文件:importjava.lang.reflect.Method;importjava.sql.Connection;importjava.sql.DriverManager;importjava.sql.PreparedStatement;importjava.util.HashMap;importjava.util.Map;importcom.sty.hibernate.model.Student;publicclassSession{//pingsql需要这些配置方法,但成员