這類攻擊在以前應(yīng)該是比較常見的攻擊方式,比如POST攻擊,攻擊者可以隨便的改變要提交的數(shù)據(jù)值已達(dá)到攻擊目的.又如:COOKIES 的偽造,這一點(diǎn)更值得引起程序編寫者或站長的注意,不要使用COOKIES來做為用戶驗(yàn)證的方式,否則你和把鑰匙留給賊是同一個道理.
比如:
以下是引用片段:
If trim(Request. cookies ("uname"))="fqy" and Request.cookies("upwd") ="fqy#e3i5.com" then?
……..more………?
End if?
我想各位站長或者是喜好寫程序的朋友千萬別出這類錯誤,真的是不可饒恕.偽造COOKIES 都多少年了,你還用這樣的就不能怪別人跑你的密碼.涉及到用戶密碼或者是用戶登陸時,你最好使用session 它才是最安全的.如果要使用COOKIES就在你的COOKIES上多加一個信息,SessionID,它的隨機(jī)值是64位的,要猜解它,不可能.例:
以下是引用片段:
if not (rs.BOF or rs.eof) then?
login="true"?
Session("username"&sessionID) = Username?
Session("password"& sessionID) = Password?
'Response.cookies("username")= Username?
'Response.cookies("Password")= Password?
下面我們來談?wù)勅绾畏婪哆h(yuǎn)程注入攻擊,一般的攻擊都是將單表提交文件拖到本地,將Form ACTION="chk.asp" 指向你服務(wù)器中處理數(shù)據(jù)的文件即可.如果你全部的數(shù)據(jù)過濾都在單表頁上,那么恭喜你,你將已經(jīng)被腳本攻擊了.
怎么才能制止這樣的遠(yuǎn)程攻擊?好辦,請看代碼如下: 程序體(9)
以下是引用片段:
<%?
server_v1=Cstr(Request.ServerVariables("HTTP_REFERER"))?
server_v2=Cstr(Request.ServerVariables("SERVER_NAME"))?
if mid(server_v1,8,len(server_v2))<>server_v2 then?
response.write "
response.write " "?
response.write "你提交的路徑有誤,禁止從站點(diǎn)外部提交數(shù)據(jù)請不要亂改參數(shù)!"?
response.write ""?
response.end?
end if?
%>?
'個人感覺上面的代碼過濾不是很好,有一些外部提交竟然還能堂堂正正的進(jìn)來,于是再寫一個.
'這個是過濾效果很好,建議使用.
if instr(request.servervariables("http_referer"),"http://"&request.servervariables("host") )<1 then response.write "處理 URL 時服務(wù)器上出錯。
如果您是在用任何手段攻擊服務(wù)器,那你應(yīng)該慶幸,你的所有操作已經(jīng)被服務(wù)器記錄,我們會第一時間通知公安局與國家安全部門來調(diào)查你的IP. "
以下是引用片段:
response.end?
end if?
?
-----------------------------------------------------------------------------------------------------
我們的與眾不同之處:
??? 免費(fèi)網(wǎng)絡(luò)營銷顧問:我們?yōu)槟峁┟赓M(fèi)的網(wǎng)絡(luò)營銷顧問服務(wù),您需要了解關(guān)于如何開展網(wǎng)絡(luò)營銷,電子商務(wù),網(wǎng)站設(shè)計等的事宜,歡迎隨時聯(lián)系我們。
??? seo友好的網(wǎng)站管理系統(tǒng):除了優(yōu)質(zhì)的網(wǎng)站空間,網(wǎng)站管理系統(tǒng),和網(wǎng)站設(shè)計外,我們的網(wǎng)站管理系統(tǒng)更是seo友好的,包括:自定義欄目名,Google Sitemap自動生成,靜態(tài)頁面生成等等,讓您的網(wǎng)站。
???? 免費(fèi)網(wǎng)絡(luò)營銷培訓(xùn):如何更好的投放網(wǎng)絡(luò)廣告,如何提高網(wǎng)絡(luò)廣告的投資回報,如何發(fā)帖子,
??? ?如何優(yōu)化網(wǎng)站,我們有豐富的經(jīng)驗(yàn)開放給您!祝君成功!
聯(lián)系我們:010-62199213 62122723-808 賈先生
北京網(wǎng)站建設(shè)公司-傳誠信網(wǎng)站:m.xinyangweb.com?點(diǎn)擊查看經(jīng)典網(wǎng)站案例!
北京傳誠信網(wǎng)站建設(shè)2010年建站套餐及優(yōu)惠!點(diǎn)擊查看!