最近公司一个项目让人SQL注入了~为了临时先解决这个问题,使攻击者不再危害数据库。
初步决定先采用IHttpModule过滤一道请求。
{
public HttpModule()
{
//
// TODO: 在此处添加构造函数逻辑
//
}
#region IHttpModule 成员
public void Init(System.Web.HttpApplication context)
{
context.BeginRequest += new EventHandler(ReUrl_BeginRequest);
}
public void Dispose()
{
// TODO: 添加 HttpModule.Dispose 实现
}
#endregion
/// <summary>
///
/// </summary>
/// <param name="sender">事件的源</param>
/// <param name="e">包含事件数据的 EventArgs</param>
private void ReUrl_BeginRequest(object sender, EventArgs e)
{
HttpApplication application = (HttpApplication)sender;
HttpContext context = application.Context;
string userID = "";
if(context.Session != null)
{
userID = context.Session["userID"].ToString();
}
/*
…………以下过滤SQL注入细节省略
*/
}
}
以前还没留意到,只知道在Global.asa里面的Application_Start获取不到Session.因为在应用程序启动时,还没有加载Session状态!
以为在这里的 BeginRequest 时已经加载了Session!但事实是这里context.Session 永远等于null.
上MSDN查了一下事件的执行顺序 如下:
在处理该请求时将由 HttpApplication 类执行以下事件。希望扩展 HttpApplication 类的开发人员尤其需要注意这些事件。
1. 对请求进行验证,将检查浏览器发送的信息,并确定其是否包含潜在恶意标记。有关更多信息,请参见 ValidateRequest 和脚本侵入概述。
2.如果已在 Web.config 文件的 UrlMappingsSection 节中配置了任何 URL,则执行 URL 映射。
3.引发 BeginRequest 事件。
4.引发 AuthenticateRequest 事件。
5.引发 PostAuthenticateRequest 事件。
6.引发 AuthorizeRequest 事件。
7.引发 PostAuthorizeRequest 事件。
8.引发 ResolveRequestCache 事件。
9.引发 PostResolveRequestCache 事件。
10.根据所请求资源的文件扩展名(在应用程序的配置文件中映射),选择实现 IHttpHandler 的类,对请求进行处理。如果该请求针对从 Page 类派生的对象(页),并且需要对该页进行编译,则 ASP.NET 会在创建该页的实例之前对其进行编译。
11.引发 PostMapRequestHandler 事件。
12.引发 AcquireRequestState 事件。
13.引发 PostAcquireRequestState 事件。
14.引发 PreRequestHandlerExecute 事件。
15.为该请求调用合适的 IHttpHandler 类的 ProcessRequest 方法(或异步版 BeginProcessRequest)。例如,如果该请求针对某页,则当前的页实例将处理该请求。
16.引发 PostRequestHandlerExecute 事件。
17.引发 ReleaseRequestState 事件。
18.引发 PostReleaseRequestState 事件。
19.如果定义了 Filter 属性,则执行响应筛选。
20.引发 UpdateRequestCache 事件。
21.引发 PostUpdateRequestCache 事件。
22.引发 EndRequest 事件。
AcquireRequestState事件,当实际服务请求的处理程序获得与该请求关联的状态信息时发生。在这个事件发生时才能取到Session中是userId信息。BeginRequest事件在AcquireRequestState之前发生,我们把取Session状态的代码放在BeginRequest中肯定是取不到的。
因此将以上代码放在AcquireRequestState事件里,应该是可行的,改为如下:
using System.Web;
namespace EbzonLibrary
{
/// <summary>
/// HttpModule 的摘要说明。
/// </summary>
public class HttpModule:IHttpModule
{
public HttpModule()
{
//
// TODO: 在此处添加构造函数逻辑
//
}
#region IHttpModule 成员
public void Init(System.Web.HttpApplication context)
{
// Begin_Request时还没有加载Session状态
// context.BeginRequest += new EventHandler(ReUrl_BeginRequest);
context.AcquireRequestState +=new EventHandler(context_AcquireRequestState);
}
public void Dispose()
{
// TODO: 添加 HttpModule.Dispose 实现
}
#endregion
private void context_AcquireRequestState(object sender, EventArgs e)
{
HttpApplication application = (HttpApplication)sender;
HttpContext context = application.Context;
string userID= "";
if(context.Session["UserID"] != null)
{
userID = context.Session["UserID"].ToString();
}
/*
……
具体过滤SQL危险字符串
*/
}
}
}
这样测试是可行的!看来还是要留心一下!
另外说明一点 使用IHttpModule接口时 需要在Web.Config中配置如下信息
<httpModules>
<add type="EbzonLibrary.HttpModule, EbzonLibrary" name="HttpModule"/>
</httpModules>
<!--
……
-->
</system.web>