网站存在啊D注入工具的SQL注入点的修复方法_网络安全

前日和昨日,我的网站还有我给老师做的单片机网站相继被黑。在我的网站里莫名其妙的多出一篇文章,还有多出一组贴图。正在纳闷是谁可以登陆我的后台发表文章和图片的时候,我的qq弹出消息,一个陌生人给我发消息,说我的网站有漏洞,还说是他弄了我的网站。不过还好,他给我详细说了黑我网站的方法,还提醒我好好修补修补,不然会被别人黑的。从他那得知,他用的是“啊D注入工具”,先找我的网站是否存在可注入点,如果有,进行注入,能够破解得到后台密码。

当晚我把那个“啊D注入工具”下载下来研究,知道了他注入的原理,对网页进行了一些修改,但是用工具一查,还是存在注入点。小虾无能,只好上网搜索,找到了如下的方法,按如下修改后,再用“啊D注入工具”检测,果然不存在注入点了。

下面是修补方法
用工具检测到网站存在SQL注入点,那么如何进行修补呢?
1.新建一个asp文件,写入以下代码,保存文件名为checkSQL.asp。

复制代码 代码如下:

<%
Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Zx
''''---定义部份 头------
Fy_Cl = 3 ''''处理方式:1=提示信息,2=转向页面,3=先提示再转向
Fy_Zx = "[color=Red]输入你的网页地址[/color]" ''''出错时转向的页面
''''---定义部份 尾------
On Error Resume Next
Fy_Url=Request.ServerVariables("QUERY_STRING")
Fy_a=split(Fy_Url,"&")
redim Fy_Cs(ubound(Fy_a))
On Error Resume Next
for Fy_x=0 to ubound(Fy_a)
Fy_Cs(Fy_x) = left(Fy_a(Fy_x),instr(Fy_a(Fy_x),"=")-1)
Next
For Fy_x=0 to ubound(Fy_Cs)
If Fy_Cs(Fy_x)<>"" Then
If Instr(LCase(Request(Fy_Cs(Fy_x))),"''''")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"and")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"select")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"update")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"chr")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"delete%20from")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),";")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"insert")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"mid")<>0 Or Instr(LCase(Request(Fy_Cs(Fy_x))),"master.")<>0 Then
Select Case Fy_Cl
Case "1"
Response.Write "<Script Language=JavaScript>alert(''''你的IP已被记录,我们将在24小时内发送到中国网安进行IP分析.请自重!!\n\n'''');window.close();</Script>"
Case "2"
Response.Write "<Script Language=JavaScript>location.href=''''[color=Red]输入你的网页地址[/color]''''</Script>"
Case "3"
Response.Write "<Script Language=JavaScript>alert('''' 你的IP已被记录,我们将在24小时内发送到中国网安进行IP分析.请自重!!'''');location.href=''''[color=Red]输入你的网页地址[/color]'''';</Script>"
End Select
Response.End
End If
End If
Next
%>

然后把此文件放到网站目录上去,然后在被发现有注入点的文件里,找到以下代码,
<!--#include file="***.***"-->
注意,“***.***”为连接的文件,找到相关类似的代码即可,然后在后面添加一句
<!--#include file="checkSQL.asp"-->
要注意checkSQL.asp所放在的路径,对应修改。完成后再用工具后在扫一次,确定不在被发现SQL注入点后,问题解决。

时间: 2024-10-26 14:59:02

网站存在啊D注入工具的SQL注入点的修复方法_网络安全的相关文章

ASP通用防注入代码.杜绝SQL注入隐患.提升网站安全

ASP通用防注入代码.杜绝SQL注入隐患.提升网站安全 <% '''''''''''''''''''''''''''''''''''''''''''''''' 'ASP通用防注入代码 '您可以把该代码COPY到头文件中.也可以单独作 '为一个文件存在,每次调用使用 '作者:y3gu - 2005-7-29 '''''''''''''''''''''''''''''''''''''''''''''''' Dim GetFlag Rem(提交方式) Dim ErrorSql Rem(非法字符) Di

JAVA 如何写 防XSS跨站脚本工具和sql注入的 过滤器

问题描述 JAVA如何写防XSS跨站脚本工具和sql注入的过滤器 解决方案 解决方案二:话说原来项目中都有专门的安全包,屏蔽这些解决方案三:HttpServletRequestWrapper你值得拥有解决方案四:引用2楼x19881216的回复: HttpServletRequestWrapper你值得拥有 那个我试了貌似只能过滤参数吧,我请求的连接是这样的/PORTAL/css/struts-virtdir/%3Cscript%3Ealert(4415)%3C/script%3E.do会弹出个

我国网站正在遭受一次大规模的SQL注入攻击

中介交易 http://www.aliyun.com/zixun/aggregation/6858.html">SEO诊断淘宝客 站长团购 云主机 技术大厅 根据台湾的一家安全公司阿码科技(Armorize Technologies)提供的消息,我国(包括大陆和台湾地区)的网站正在遭受一次大规模的SQL注入攻击,目前已有数千网站被植入恶意程序. 该安全公司的CEO黄耀文表示,首次检测到攻击的时间是5月13日,来自国内的服务器集群,而且发动攻击者并没有隐藏自身IP地址的意图.据黄称,攻击还在

php中sql注入漏洞示例 sql注入漏洞修复_php实例

在开发网站的时候,出于安全考虑,需要过滤从页面传递过来的字符.通常,用户可以通过以下接口调用数据库的内容:URL地址栏.登陆界面.留言板.搜索框等.这往往给骇客留下了可乘之机.轻则数据遭到泄露,重则服务器被拿下.  一.SQL注入的步骤 a)  寻找注入点(如:登录界面.留言板等) b)  用户自己构造SQL语句(如:' or 1=1#,后面会讲解) c)  将sql语句发送给数据库管理系统(DBMS) d)  DBMS接收请求,并将该请求解释成机器代码指令,执行必要的存取操作 e)  DBMS

一些简单sql注入与防止sql注入详解

如果把用户输入到一个网页,将其插入到MySQL数据库,有机会离开了发生安全问题被称为SQL注入敞开.这一课将教如何帮助防止这种情况的发生,并帮助保护脚本和MySQL语句. 注入通常发生在处理一个用户输入,如他们的名字,而不是一个名字,他们给一个会在不知不觉中你的数据库上运行的MySQL语句. 永远不要信任用户提供的数据,只能验证后处理这些数据,作为一项规则,这是通过模式匹配.在下面的例子中,用户名被限制为字母数字字符加下划线的长度在8到20个字符之间 - 根据需要修改这些规则.  代码如下 复制

SQL select distinct的使用方法_数据库其它

在表中,可能会包含重复值.这并不成问题,不过,有时您也许希望仅仅列出不同(distinct)的值.关键词 distinct用于返回唯一不同的值. 表A: 示例1 复制代码 代码如下: select distinct name from A 执行后结果如下: 示例2 select distinct name, id from A 执行后结果如下: 实际上是根据"name+id"来去重,distinct同时作用在了name和id上,这种方式Access和SQL Server同时支持. 示例

MSSQL注入PUBLIC权限下的xp_dirtree再度利用方法_安全教程

软件作者:kj021320 信息来源:I.S.T.O技术团队(http://blog.csdn.net/I_S_T_O/) 本来这文章在TEAM里面放了好久的了!只是<<art of sql injection>>的一个小部分,可惜写了好久资料收集了好多但是估计年底都没能出来~那就先发出来了!主要是MSSQL2005都来了!2K的话没多久就会给淘汰了~拿出来跟大家交流吧~广告说完了... 正文: 提起public权限的用户估计很多人也觉得郁闷了吧~N久以前看了一篇<论在mss

10大关系数据库SQL注入工具一览

  BSQL Hacker BSQL Hacker是由Portcullis实验室开发的,BSQL Hacker 是一个SQL自动注入工具(支持SQL盲注),其设计的目的是希望能对任何的数据库进行SQL溢出注入. BSQL Hacker的适用群体是那些对注入有经验的使用者和那些想进行自动SQL注入的人群.BSQL Hacker可自动对Oracle和MySQL数据库进行攻击,并自动提取数据库的数据和架构. The Mole The Mole是一款开源的自动化SQL注入工具,其可绕过IPS/IDS(入

sql注入-请各位大师帮我看看这个.net 4 sql2008的网站有没有漏洞?

问题描述 请各位大师帮我看看这个.net 4 sql2008的网站有没有漏洞? 网站是http://www.smmzj.gov.cn 接公安部门通知,说我的网站存在许多漏洞,大量的SQL注入漏洞,我用webscan.360.cn检测出一个安全漏洞,打了补丁并修复语句后解决,现在检测是100分安全. 并没有注入漏洞,用注入检测工具也没有查出来.可能是我技术不行. 求各位大师帮我检测一下该网站是否存在漏洞?又如何修复? 解决方案 理论上说,没有没有漏洞的程序.市面上的检测软件只不过是针对一些已知的常