|
[推荐]ASP登陆验证页应做的安全问题
类似的方法很多,网上有很多的详细文章,都是一样过滤特定字符的,学学没有错的,实在不会就用防注入系统就OK了(记得更改防注入系统的默认密码和数据库),免得烦闷……但还是应该先学学防注入和注入原理,呵,有得必有失,,,,
应对ASP溢出漏洞我们应该做全面的字符过滤
一种是会员登陆
下面这一段代码是把username的非法字符过滤掉
| 以下是引用片段: <% username=trim(request.form("username")) userpws=trim(request.form("password")) if username="" or userpws="" or Instr(username,"=")>0 or Instr(username,"%")>0 or Instr(username,chr(32))>0 or Instr(username,"?")>0 or Instr(username,"&")>0 or Instr(username,";")>0 or Instr(username,",")>0 or Instr(username,"'")>0 or Instr(username,",")>0 or Instr(username,chr(34))>0 or Instr(username,chr(9))>0 or Instr(username," ")>0 or Instr(username,"$")>0 then response.write('' 请正确输入用户名和密码'') response.end end if %> |
还有一种是通过地址栏输入非法字符的溢出漏洞如 一有页面为newslist.asp一页面为newspage.asp
我们从newslist.asp传递newsid参数到newspage.asp在newspage.asp接收参数时一般我们只用,
| 以下是引用片段: <% dim newsid newsid=request(''newsid'') .................... %> |
为安全起见我们至少要加一句
| 以下是引用片段: <% dim newsid newsid=tirm(request''id'') if newsid='''' or Instr(newsid,"'")>0 or Instr(newsid,"%")>0 then response.write(''非法参数'') response.end %> |
我说的基本上就以上两点,如有不到之处请多多指教。
虽然在INTERNET中我们还存在着一些漏洞,但我们多输入几行代码就更好地增加了网站的安全性!
| 阻止Alert攻击代码 | 12-14 |
| Arp反欺骗策略 | 11-29 |
| 如何杜绝iframe挂马 | 11-29 |
| 打造抵御SQL注入攻击的MS SQL服务 | 10-23 |
| ASP木马Webshell安全解决方案 | 09-22 |
| ASP登陆验证页应做的安全问题 | 08-25 |
| 防黑主要是日常维护的5个步骤总结 | 08-25 |
| Windows Server2003安全配置整理 | 08-20 |
| 安全虚拟主机配置 | 07-18 |
| ASP木马Webshell的安全防范解决办 | 06-19 |
| CC DDOS攻击器的原理及防范方法 | 06-13 |
| 高手应对ASP及Access的安全及对策 | 05-30 |
您现在的位置: