ASP注入应用漏洞解决方法整理(2)
发布时间:2007-09-17 12:42:00
11、使用过滤和防注入函数来过滤掉一些特殊的字符,防注入函数示例:
Function ReqNum ( StrName ) /* 数值型变量过滤 */
ReqNum = Request ( StrName )
if Not isNumeric ( ReqNum ) then
Response.Write "参数必须为数字型!" Response.End
End if
End Function
Function ReqStr ( StrName ) /*字符型和搜索型过滤 */
ReqStr = Replace ( Request(StrName), "’", "’’" ) /* 用replace函数屏蔽单引号 */
End Function
以下三句SQL语句,说明一下调用方法:
1.SQL="select * from dv_admin where username=" & ReqNum("username")2.SQL="select * from
dv_admin where username =’" &
ReqStr(" username ") & "’" 3.SQL="select * from username where UserName like ’%" & ReqStr
(" username ") & "%’"
12、若想更换SQL Server 的执行服务账号,则该帐号需要以下的权限:
Log On Locally
Log On as a Batch
Access this computer from the Network
Log on as service
Replace a process level token
Act as part of the operating system
Increase quotas
13、使用Microsoft基线安全性分析器(MBSA)来评估服务器的安全性,并按照它的建议来更改系统的设定。
MBSA 是一个扫描多种Microsoft产品的不安全配置的工具,包括SQL Server和Microsoft SQL Server 2000 Desktop Engine(MSDE 2000)。它可以在本地运行,也可以通过网络运行。
该工具针对下面问题对SQL Server安装进行检测:
(1) 过多的sysadmin固定服务器角色成员。
(2) 授予sysadmin以外的其他角色创建CmdExec作业的权利。
(3) 空的或简单的密码。
(4) 脆弱的身份验证模式。
(5) 授予管理员组过多的权利。
(6) SQL Server数据目录中不正确的访问控制表(ACL)。
(7) 安装文件中使用纯文本的sa密码。
(8) 授予guest帐户过多的权利。
(9) 在同时是域控制器的系统中运行SQL Server。
(10) 所有人(Everyone)组的不正确配置,提供对特定注册表键的访问。
(11) SQL Server 服务帐户的不正确配置。
(12) 没有安装必要的服务包和安全更新。
0
投稿猜你喜欢
- 发布服务器:SFTP用户名:SFTP密码:TelNet用户名:TelNet密码:MySql 5.0及以上版本Php 5.0及以上版
- 在过去十年中,层出不穷的 Web 应用和人们对互联网的依赖程度有显著的增加。Web 的发展带来了一系列新机遇、身临其境的体验、联机服务和标准
- 仍旧新手教程类,适合新手及才接触VPS的朋友们看一下,主要是关于VPS安全方面相关内容的,陆续更新:禁止ROOT登陆 保证安全性;使用DDo
- 数据显示,虽然经济危机对于互联网行业带来了很大的影响,但是08年网络广告行业还是有180多亿的规模,分析还指出,09年还会有20%的增长率。
- 确保关键任务应用程序始终可用是 IT 部门提供的一项关键服务,而且“高可用性”是 Windows S
- 具体内容如下所示:先对网络接口配置文件ifcfg-eth0进行设置1.cd /etc/sysconfig/network-scripts/2
- 网站的定位往往就是一句话的事情,但就是简单的一句话却来之不易。为了这简单的一句话,很多网站花了很长的时间,走了不少的曲折之路。网站的定位跟网
- 它是什么?GNU Parallel是一个shell工具,为了在一台或多台计算机上并行的执行计算任务,一个计算任务可以是一条shell命令或者
最新消息,美国主机商ixwebhosting推出中文客服,其中文站(cn.IXWebHosting.com)已经在网站顶部提示,“中文liv- 作为全球中文搜索引擎的老大,百度以其强大的中文数据库和超强的中文抓取技术著称。不过中文第一的位置并不是好做的,全球性搜索引擎老大GOOGLE
- 一、关键词分析方法关键词分析有两大分析方法,第一个是正向分析方法,正向分析方法是按照网站的定位,以及实现的目标来分析关键词,逐步的完善关键词
- 据国外媒体报道,乔布斯曾经说过微软从苹果偷窃出Windows系统,但这些年来双方都有诸多“剽窃”对方
- 酷影小何是我在网上用得最多的名字,我从2003年开始接触计算机网络,以前都是做免费的个人主页,2006年接触kingcms后,在大S的影响下
- 11月27日消息,据国外媒体报道,中国互联网络信息中心(CNNIC)日前发布的最新报告显示,腾讯网游用户占了中国大型网络游戏用户总人数的44
- 英文网站建设与中文网站建设的区别不仅仅是使用中文与使用英文的差别。使用时有时出现乱码,这给企业带来很大的损失。由于中文字形复杂,并且电脑上的
- 在中国市场份额落后于百度的情况下,Google似乎开始考虑“复制”百度的成功路径。昨日,本报记者获悉,Google近期将会宣布与巨鲸音乐网联
- 编前:这是20ju.com的古心神对SEO专家Zac的访谈,主题是关于网络营销与SEO。为阅读方便,内容重新提取整理,黑体字为提问,后面是S
- sendStaticResource 方法是非常简单的。它首先传递父路径和子路径给File类的构造器,从而对java.io.File类进行了
- 阿里云论坛上的资源很丰富,查了下安装LAMP环境,很多基础性的东西已经内置了,比如防火墙的配置和端口的开启,统统不需要再做操作,所以安装下来
- NFS是网络文件系统(Network File System)的简称,是分布式计算系统的一个组成部分,可实现在异种网络上共享和装配远程文件系
