• ASP 二进制SQL注入程序思索


     最近维护一个ASP网站,发现其被SQL注入,和往常的SQL注入不同的是他居然吧SQL语句编译成了二进制,然后再执行SQL写一个存储过程,然后再执行,最后删除存储过程,让你无际可循。说实话,我很佩服现在的黑客,如果可以我也想学学,这是怎么写出来的。。呵呵 下面是他执行的SQL的源码

     

    经过编译 其实就是这个样子 

    是不是 看得你脑壳大  。。。没办法 其实我的脑壳也很大   这些代码的出处为 http://blog.csdn.net/tkjune/archive/2009/01/03/3687728.aspx

    加上以前的那些东东,其实也让我恍然一下想起了很多。原来原理都是一样啊,通过那些不注意对自己的ID那些进行加密的网站的URL 例如 Class.asp?id=1 这些进行加后缀然后SQL注入攻击。那我们如何防御呢。

    思想很简单,其实就是过滤这些增 删 改 差字段。在你的数据访问类里面进行过滤。针对一些汇编语言的SQL注入,我建议大家还是对输入的SQL进行二进制的转码 然后再对比。然后过滤。如果考虑安全性考虑,我觉得还是应该在数据库里面写触发器 通过触发器进行SQL语句的过滤

  • 相关阅读:
    AntvF2 踩坑及解决办法总结
    Swiper 禁止手动控制滑动
    cnpm run dev 报错 : Error: getaddrinfo ENOTFOUND localhost 解决
    vue项目px自动转rem
    用Vue简单实现自动全选
    使用node搭建静态资源服务器(1)
    node的模块机制
    什么是node
    女程序员的困惑
    Linux系统下node安装(mac命令行安装)
  • 原文地址:https://www.cnblogs.com/dingdingmao/p/3146572.html
Copyright © 2020-2023  润新知