二、脚本入侵攻击
    脚本入侵是目前较为常见的攻击手段之一，据笔者调查显示现在仍有70%的网站，存在脚本注入的危险。恶意人一旦注入成功，可通过检测出的注入网址，来破解出网站的管理员口令及密码，从而可以进一步通过网站后台，实现遥控其网站前台的目的。如果你正为不知网站的某个文件，存在脚本注入漏洞而烦恼，可通过旁注WEB综合检测程序，在其界面"SQL注入"标签内，选择下方"批量扫描注点"按钮，然后将自己站点的网址添加进去，即可对其网站进行注入扫描。大家可按照检测出的注入址，"顺藤摸瓜"找到这些含有注入漏洞的文件，当然要想不被脚本入侵，你还需要把所检测到的漏洞文件，分别加载上以下防注代码，才可避免黑客的脚本入侵。
    <%
    Dim Fy_Url,Fy_a,Fy_x,Fy_Cs(),Fy_Cl,Fy_Ts,Fy_Zx
    '---定义部份 头------
    Fy_Cl = 1 '处理方式：1=提示信息,2=转向页面,3=先提示再转向
    Fy_Zx = "index.Asp" '出错时转向的页面
    '---定义部份 尾------
    On Error Resume Next
    Fy_Url=Request.ServerVariables("QUERY_STRING")
    Fy_a=split(Fy_Url,"&")
    redim Fy_Cs(ubound(Fy_a))
    On Error Resume Next
    for Fy_x=0 to ubound(Fy_a)
    Fy_Cs(Fy_x) = left(Fy_a(Fy_x),instr(Fy_a(Fy_x),"=")-1)
    Next
    For Fy_x=0 to ubound(Fy_Cs)
    If Fy_Cs(Fy_x)<>"" Then
    If Instr(LCase(Request(Fy_Cs(Fy_x))),"'")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"and")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"select")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"update")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"chr")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"delete%20from")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),";")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"insert")<>0 or Instr(LCase(Request(Fy_Cs(Fy_x))),"mid")<>0 Or Instr(LCase(Request(Fy_Cs(Fy_x))),"master.")<>0 Then
    Select Case Fy_Cl
    Case "1"
    Response.Write "<Script Language=JavaScript>alert(' 出现错误！参数 "&Fy_Cs(Fy_x)&" 的值中包含非法字符串！\n\n 请不要在参数中出现：and,select,update,insert,delete,chr 等非法字符！\n\n我已经设置了不能SQL注入，请不要对我进行非法手段！');window.close  ();</Script>"
    Case "2"
    Response.Write "<Script Language=JavaScript>location.href='"&Fy_Zx&"'</Script>"
Case "3"
    Response.Write "<Script Language=JavaScript>alert(' 出现错误！参数 "&Fy_Cs(Fy_x)&"的值中包含非法字符串！\n\n 请不要在参数中出现：,and,select,update,insert,delete,chr 等非法字符！\n\n设计了门，非法侵入请离开，谢谢！');location.href='"&Fy_Zx&"';</Script>"
    End Select
    Response.End
    End If
    End If
    Next
    %>
    另外从网上下载SQL防止注入系统，将它安置到自己网站的目录下，同时也可成功预防黑客的脚本注入，以上两种"防注"方法大家可任选其中一种。

上一页  [1] [2] [3] 下一页