ASP注入应用漏洞解决方法整理(2)
发布时间:2007-09-17 12:42:00
11、使用过滤和防注入函数来过滤掉一些特殊的字符,防注入函数示例:
Function ReqNum ( StrName ) /* 数值型变量过滤 */
ReqNum = Request ( StrName )
if Not isNumeric ( ReqNum ) then
Response.Write "参数必须为数字型!" Response.End
End if
End Function
Function ReqStr ( StrName ) /*字符型和搜索型过滤 */
ReqStr = Replace ( Request(StrName), "’", "’’" ) /* 用replace函数屏蔽单引号 */
End Function
以下三句SQL语句,说明一下调用方法:
1.SQL="select * from dv_admin where username=" & ReqNum("username")2.SQL="select * from
dv_admin where username =’" &
ReqStr(" username ") & "’" 3.SQL="select * from username where UserName like ’%" & ReqStr
(" username ") & "%’"
12、若想更换SQL Server 的执行服务账号,则该帐号需要以下的权限:
Log On Locally
Log On as a Batch
Access this computer from the Network
Log on as service
Replace a process level token
Act as part of the operating system
Increase quotas
13、使用Microsoft基线安全性分析器(MBSA)来评估服务器的安全性,并按照它的建议来更改系统的设定。
MBSA 是一个扫描多种Microsoft产品的不安全配置的工具,包括SQL Server和Microsoft SQL Server 2000 Desktop Engine(MSDE 2000)。它可以在本地运行,也可以通过网络运行。
该工具针对下面问题对SQL Server安装进行检测:
(1) 过多的sysadmin固定服务器角色成员。
(2) 授予sysadmin以外的其他角色创建CmdExec作业的权利。
(3) 空的或简单的密码。
(4) 脆弱的身份验证模式。
(5) 授予管理员组过多的权利。
(6) SQL Server数据目录中不正确的访问控制表(ACL)。
(7) 安装文件中使用纯文本的sa密码。
(8) 授予guest帐户过多的权利。
(9) 在同时是域控制器的系统中运行SQL Server。
(10) 所有人(Everyone)组的不正确配置,提供对特定注册表键的访问。
(11) SQL Server 服务帐户的不正确配置。
(12) 没有安装必要的服务包和安全更新。
0
投稿猜你喜欢
3月3日消息,中关村在线正式获得了由国家广播电影电视总局颁发的《信息网络传播视听节目许可证》(AVSP),成为华语地区首家广电总局准许从事互- 计算机可以被设置为每次重新启动时,都可以在两个或多个操作系统之间选择。例如,可以将服务器设置为大部分时间运行 Windows 2000 Se
- 拨号服务器的维护和管理是关乎服务器端和客户端、涉及软件与硬件的较繁杂的工作。它要求管理员多实践,且善于归纳和总结,只有这样,才能形成一套自已
- 单个网页的最优化是搜索引擎优化的细致工作,需要一页一页地认真展开,如同铁路的修建,需要一米米的推进,直到全线贯通,这个工作也是让许多SEO人
- 百度老总李彦宏出了一道题:“评价一个搜索引擎好坏的标准到底是什么?”这位刚成为武大名誉教授的李老师,承诺将回答优秀者收作自己的研究生。我对这
- 投放 AdSense 广告以后,通过对网站和广告的优化,可以有效提高您的广告收入,同时提升网站的用户体验。首先,广告收入最根本的是展示量,所
- DDOS攻击是现在最常见的一种黑客攻击方式,下面就给大家简单介绍一下DDOS的七种攻击方式。1.Synflood: 该攻击以多个随机的源主机
- 酷我音乐盒作为国内领先的网络音乐播放器,除了提供给用户完美的音乐视听享受外,在歌词方面也是精益求精,力求带给用户独一无二的全新歌词体验。经过
- 有不少发布商询问各种推介广告的问题,我们今天就常问问题进行一个集中解答,希望对您有所帮助。推介广告是如何付费的?答:推介广告不同于普通的针对
- 网上随处可见的攻击软件,攻击者不需要对网络协议的深厚理解基础,即可完成诸如更换web网站主页,到取管理员密码,破坏整个网站数据等等攻击。而这
- 今天就来和大家讨论一下如何提高网站的粘度,应该注意的哪些问题!欢迎大家补充,拍砖,谢谢! 1、网站设计有特色,有自己的思想,并不是完全模仿别
- 虽然这些年来,每一个新发布的新版Exchange Server都保留了先前版本的一些特征,但是某些版本和其他的版本相比较而言,还是有了更多的
- 北京时间6月19日上午消息,据Mozilla基金会统计,Firefox 3正式推出后24小时内下载次数已经超过800万,这也是自Firefo
- 这本小册子薄得让人有点为难,但是这已经有了足够的信息量让所有人来重新审视一个产业,没错,从今天开始,SEM 这个产业可以划分为「之前」和「以
- 11月8日消息,AdobeSystems星期五(11月6日)为Android用户推出了一种新的Photoshop应用程序,让用户使用自己的手
- 近日,搜狗率先将输入法发挥到极致,在全球范围首个推出云输入法。搜狗云输入法是基于搜狗拼音输入法,依托云计算技术的一个“概
- 为了便于搜索引擎抓取,俺们可以将wordpress进行静态URL重写、下面是URL ReWrite的规则!下面是Rewrite规则:(请将下
- 最近一个朋友的Blog在做301重定向的过程中遇到了一些困难。大概的情况就是,原来的Blog域名不打算做了,在新的域名上重启炉灶,重新开始写
- 10月15日消息,阿里学院今日宣布,为帮助中小企业解决人才缺口问题,近期将在全国范围内打造电子商务人才产业链,完成人才培养到人才输送。据阿里
- $CTDF_USERINFO["sid"] = $sid; $CTDF_USERINFO[&quo
