- 1、本文档共19页,可阅读全部内容。
- 2、原创力文档(book118)网站文档一经付费(服务费),不意味着购买了该文档的版权,仅供个人/单位学习、研究之用,不得用于商业用途,未经授权,严禁复制、发行、汇编、翻译或者网络传播等,侵权必究。
- 3、本站所有内容均由合作方或网友上传,本站不对文档的完整性、权威性及其观点立场正确性做任何保证或承诺!文档内容仅供研究参考,付费前请自行鉴别。如您付费,意味着您自己接受本站规则且自行承担风险,本站不退款、不进行额外附加服务;查看《如何避免下载的几个坑》。如果您已付费下载过本站文档,您可以点击 这里二次下载。
- 4、如文档侵犯商业秘密、侵犯著作权、侵犯人身权等,请点击“版权申诉”(推荐),也可以打举报电话:400-050-0827(电话支持时间:9:00-18:30)。
查看更多
由一次及对政府网站审计引发的深思
国内网络空间安全真的做好了吗?ADD YOUR TEXT HERE由一次对政府网站审计而引发的深思ADD YOUR TEXT HERE如何应对缺陷的代码赋予代码迷人的艺术针对sql注入攻击围绕session的问题讨论审计 - 如何看待sql和session记一次对市级政府的审计演讲: 刘备@制杖局● 初遇session漏洞出现最多的程序:留言板or邮件发送系统这里以某政府邮件发送系统为例我们可以看到,这是一个单页面邮件发送管理系统,代码中未做任何验证,主程序也没有对这个页面做任何管理,只是传了个文件改改版权,所以访问这个页面的时候可以直接管理对此我们可以在sql执行代码后面加入If Not rs.EOF = True Then//当前的记录位于Connection对象的最后一个记录之前(下一页)Session(“Name”) = rs(“UserName”) //将username的属性赋值给name的session自定义变量Session(“pwd”) = rs(“Password”) //将password的属性赋值给pwd的session自定义变量Response.Redirect(“xxx.asp”) //利用response对象的redirect方法重定向到要跳转的页面ElseResponse.Redirect “login666.asp?msg=请输入正确的账号密码”注意方向利用漏洞下载源码的时候一定要看一遍源代码,看看有哪些缺陷,及时修补(偷偷告诉你们,因为挖这个洞我已经被拉到政府群了,紧张。。)看到可以绕过登陆,我们可以自己构造个关键字搜索inurl:漏洞页面.asp对于SQL注入事例代码%pwd = request.form(“pwd”)name = request.form(“name”)Set rs = Server.CreateObject(“ADODB.Connection”) //创建对象的意思sql = “select * from Manage_User where UserName= “ name ” And Password= “encrypt(pwd)” ” //数据库查询(手机制作符号有限,望谅解)Set rs = conn.Execute(sql) //执行像这种致命的漏洞最容易被人利用,像第一第二行代码,我们可以看到它未做任何的过滤措施以及其他检查,赋值之后直接执行sql语句,怎么利用已经显而易见了,or。。刚刚是不是卡了一下。。不要在意,我们继续。。如何解决这种漏洞在一般情况下,我们可以用replace函数进行过滤,通过类过滤语句replace (request (“id ”),“ ”,“ ”)可以把单引号改成双引号过滤,也可以用replace (request (“id ”),“ ”,“ ”)直接把单引号过滤为空格,对提交数据进行严格限制,也可以两个都是空格,消去用户提交数据中的所有空格,然后实现过滤sql 注入语句当然你也可以下载个相应的防注入文件,然后在数据库配置文件(asp 一般是conn.asp, php是config .php )中加入!--#include file= “防注入文件名” --代码,就可以让整个网站防注入了我们活动于各种漏洞响应平台,保证清一色白帽,欢迎各位加入感谢观看安全无绝对,术业有专攻你,制杖吗?@制杖局 white cap 100
您可能关注的文档
- 受试者的招募留.ppt
- 数据库及设计 - 概念和逻辑结构设计.pptx
- 思想方及法的梳理ppt.pptx
- 数学文及化--我从数学看人生.pptx
- 原肠运动—胚胎细胞重组.ppt
- 数据结及构.第7章.图.2.图的遍历和连通性.pptx
- 数据结及构.第6章.树和二叉树.1.基本概念和二叉树.pptx
- 整式 及 导入篇.pptx
- 数组班及课时1学习小结.pptx
- 文件无及法打开一定是方式不对.pptx
- 全国青少年(毒品预防教育)知识考试题库与答案 .pdf
- 2023年山东胶州市领军计划自主招生历史试题真题(含答案详解) .pdf
- 【人教版八年级生物】第六单元 第二章 认识生物的多样性 .pdf
- 冀人版-第三单元 电(提升卷)-四年级科学上册单元培优进阶练.docx
- 新郑市事业单位统考真题 .pdf
- 冀人版-第三单元动物的生长与繁殖(单元测试)四年级下册科学.docx
- CLCN4基因变异相关癫痫的临床表型及基因变异特点 .pdf
- 【《“双减”背景下小学中年级语文自主阅读策略探究》6500字】 .pdf
- 高一语文开学第一课+课件+2024-2025学年统编版高中语文必修上册 .pdf
- 密山市事业单位统考真题 .pdf
文档评论(0)