入侵网站学习_程序篇_输入参数漏洞(2)

入侵网站学习_程序篇_输入参数漏洞(2),第1张

概述真没想到一个小小的输入参数的漏洞,居然可造成整个网站的不安全,甚至是破坏性的。 其实要解决这个问题也真是非常的简单,只要对输入的参数进行一下判断就可以了。如果是字符型参数,用checkstr(自写)将其中的'改换...

真没想到一个小小的输入参数的漏洞,居然可造成整个网站的不安全,甚至是破坏性的。

其实要解决这个问题也真是非常的简单,只要对输入的参数进行一下判断就可以了。如果是字符型参数,用checkstr(自写)将其中的'改换为'';如果是数值型,用isnumeric(系统自带)来判断,返回True即为判断正确,不过有时会出错,所以我用isinteger(自写)来判断。只要对每个有输入参数的页面都进行一下判断,那么对于sql注入这种黑客侵入方法来说,你的网站就是安全的。

51检查出来的那些页面,我分析了一下。1,为了节省时间,直接拿网上现成的程序来改,而此程序有些漏洞,所以...;2.自己写的页面,以前也有这些认识,但认识不深。有些页面加了判断,有些页面就没有,所以...

即然有了工具,就随便抄几个网站吧,声明:我可没用他来做坏事!没想到,几乎每三个网站就会有一个网站有此漏洞,短短10分钟,就抄出3个网站来了。而且其中是一个著名的大型网站,不过其密码用md5加密了,而且管理登陆页也找不到。

因此,总结了一些经验,也许对以后的网站开发有点儿作用。
1.每个带输入参数的页面,必须对输入参数进行判断。
2.密码用MD5加密,基本上来说,只要是6位以上,有大小写的密码,是不可能被解密的。如果是在6位以下的简单密码,用MD5暴力破解器可在很短的时间内破解出来。所以设密码一定要慎重,尤其是管理员密码,直接关系到网站的安全。
3.如果使用sqlserver做为网站数据库,不要用sa来连接。要新建一个用户来连接,防止sql注入时通过xp_cmdshell等sqlserver内置的存储过程来创建服务器管理组的用户。
4.管理区目录不要和一般的页面程序放在一起,最好能取个他人猜不到的目录,或者进行IP判断(只允许你公司静态IP或者动态IP段访问)。

就这么多了,以后想到再补充。

总结

以上是内存溢出为你收集整理的入侵网站学习_程序篇_输入参数漏洞(2)全部内容,希望文章能够帮你解决入侵网站学习_程序篇_输入参数漏洞(2)所遇到的程序开发问题。

如果觉得内存溢出网站内容还不错,欢迎将内存溢出网站推荐给程序员好友。

欢迎分享,转载请注明来源:内存溢出

原文地址: http://outofmemory.cn/langs/1210777.html

(0)
打赏 微信扫一扫 微信扫一扫 支付宝扫一扫 支付宝扫一扫
上一篇 2022-06-04
下一篇 2022-06-04

发表评论

登录后才能评论

评论列表(0条)

保存