首页 | 心情日记 | 建站心得 | 编程技术 | 大盘分析 | 股市信息 | 学习园地 | 电脑技巧 | 物流外贸 | 另类其它 | 站长推荐 | 给我留言 | 相册

用户登陆
用户:
密码:
 
不保存保存一天
保存一月保存一年

站点日历
73 2024 - 11 48
     12
3456789
10111213141516
17181920212223
24252627282930


站点统计

最新评论

日志搜索

 标题   内容


用三款出名的注入软件检测自己的两个网站 L-BLOG的致命漏洞以及修补方法
未知 一招封死L-BLOG的远程提交以及SQL注入漏洞   [ 日期:2010-03-01 02:20:17 ]   [ 来自:本站原创 ]

海外邮件中继,海外退信中继,美国高速VPS,不限流量VPN,邮局维护和管理,邮件网关,EMOS邮件中继,POSTFIX邮件中继,Winwebmail邮件中继,Winmail邮件中继,DBMail邮件中继,JDMail邮件中继,Exchange邮件中继,MDaemon邮件中继 淘宝店:http://shantan.taobao.com 云邮科技官网:www.yunrelay.com

【字体设置:
L-BLOG是现在网络上流行的博客程序,官方的版本到1.08后就没有再更新了,现在流传的修改版本有很多,但是大部分都只是美化了一下界面而已,没有真正的把相关的漏洞修补完毕,加上现在很少人继续研究这套博客程序,希望我的这个文章对你有所帮助!

在相关的页面加上以下代码可以防止远程提交表单
<%
server_v1=cstr(request.servervariables("http_referer"))
server_v2=cstr(request.servervariables("server_name"))
'检测有www和无www的网址,现在网上的不少代码都是不完整的。
if mid(server_v1,12,len(server_v2))<>server_v2 and mid(server_v1,8,len(server_v2))<>server_v2  then
response.write("<center>禁止远程提交内容!")
response.end
end if
%>
在commond.asp文件最后加上以下代码可以防止SQL注入漏洞:
<%
If  memName<>"admin" then '这里的admin是管理员账户,可以根据自己的需要修改!
Response.Buffer = True   '缓存页面
If Request.QueryString <> ""   Then StopInjection(Request.QueryString)
If Request.Form <> ""   Then StopInjection(Request.Form)
If Request.Cookies <> ""   Then StopInjection(Request.Cookies) 

'利用正则子函数过滤相关操作!
Function StopInjection(Values)
Dim regEx
Set regEx = New RegExp
     regEx.IgnoreCase = True
     regEx.Global = True
     regEx.Pattern = "'|;|#|([\s\b+()]+(select|update|insert|delete|declare|@|exec|dbcc|alter|drop|create|backup|if|else|end|and|or|add|set|open|close|use|begin|retun|as|go|exists)[\s\b+]*)"
     Dim sItem, sValue
     For Each sItem In Values
         sValue = Values(sItem)
         If regEx.Test(sValue) Then
             Response.redirect"errorsql.asp"
             Response.End
         End If
     Next
     Set regEx = Nothing
End function
End if
%>
通过以上的修改,博客既达到了防止远程提交,又达到了防止SQL攻击的效果了!

暂时没有评论
   发表评论 - 不要忘了输入验证码哦!
作者: 用户:  密码:  我要注册 验证码: 
为防止广告注册机程序,验证码不会自动显示,请点击此处显示或者(刷新)验证码!
评论:

禁止表情
禁止UBB
禁止图片
识别链接
识别关键字
确定发布?
最多可以输入200个字,目前你已经输入了0个字;你今日还可以发表10条评论!
 
   

CopyRight © 2008-2010 广东金融学院030904班 All Rights Reserved
Powered by www.030904.com