登陆验证页应做的安全问题有哪些

网站地图	RSS-订阅
高级搜索	收藏本站

本站首页	\| 电脑常识 \| 操作系统 \| 安全防护 \| 电子数码 \| 多媒体 \| 互联网 \| 计算机技术 \| 电脑软件 \| 电脑通讯 \| 电脑硬件

热门关键字：　　操作系统　软件　文件加密码　电脑检测不到U盘　共享

当前位置：电脑爱好者首页 >> 互联网 >> 网站建设 >>

登陆验证页应做的安全问题有哪些

最近建了一个关于计算机经验的分享网站（www.mypcfix.cn）。由于是新手，对安全方面了解甚少，所以希望高手帮忙搞定一下。给出一些安全方面的建议和意见。

提问者：匿名

等级：中尉

时间：：2008-05-01

悬赏：10

问题已结束

回答共 1 条

应对ASP溢出漏洞我们应该做全面的字符过滤

一种是会员登陆

下面这一段代码是把username的非法字符过滤掉

以下是引用片段：
<%
username=trim(request.form("username"))
userpws=trim(request.form("password"))
if username="" or userpws="" or Instr(username,"=")>0 or Instr(username,"%")>0 or Instr(username,chr(32))>0 or Instr(username,"?")>0 or Instr(username,"&")>0 or Instr(username,";")>0 or Instr(username,",")>0 or Instr(username,"'")>0 or Instr(username,",")>0 or Instr(username,chr(34))>0 or Instr(username,chr(9))>0 or Instr(username," ")>0 or Instr(username,"$")>0 then
response.write('' 请正确输入用户名和密码'')
response.end
end if
%>

还有一种是通过地址栏输入非法字符的溢出漏洞如一有页面为newslist.asp一页面为newspage.asp

我们从newslist.asp传递newsid参数到newspage.asp在newspage.asp接收参数时一般我们只用，

以下是引用片段：
<%
dim newsid
newsid=request(''newsid'')
....................
%>

为安全起见我们至少要加一句

以下是引用片段：
<%
dim newsid
newsid=tirm(request''id'')
if newsid='''' or Instr(newsid,"'")>0 or Instr(newsid,"%")>0 then
response.write(''非法参数'')
response.end
%>

我说的基本上就以上两点，如有不到之处请多多指教。
虽然在INTERNET中我们还存在着一些漏洞，但我们多输入几行代码就更好地增加了网站的安全性！

利用非法字符溢出漏洞攻击网站简单的应对方法

SQL注入式攻击是利用是指利用设计上的漏洞，在目标服务器上运行Sql命令以及进行其他方式的攻击动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。
比如：
如果你的查询语句是
select * from admin where username='"&user&"' and password='"&pwd&"'"
那么，如果我的用户名是：
1' or '1'='1
那么，你的查询语句将会变成：

select * from admin where username='1 or '1'='1' and password='"&pwd&"'"
这样你的查询语句就通过了，从而就可以进入你的管理界面。
所以防范的时候需要对用户的输入进行检查。特别式一些特殊字符，比如单引号，双引号，分号，逗号，冒号，连接号等进行转换或者过滤。
需要过滤的特殊字符及字符串有：

net user
xp_cmdshell
/add
exec master.dbo.xp_cmdshell
net localgroup administrators
select
count
Asc
char
mid
'
:
"
insert
delete from
drop table
update
truncate
from
%
下面是我写的两种关于解决注入式攻击的防范代码，供大家学习参考！

js版的防范SQL注入式攻击代码～：

以下是引用片段：
<script language="javascript">

<script>

asp版的防范SQL注入式攻击代码～：以下是引用片段：
<%
On Error Resume Next
Dim strTemp
If LCase(Request.ServerVariables("HTTPS")) = "off" Then
strTemp = "http://"
Else
strTemp = "https://"
End If

strTemp = strTemp & Request.ServerVariables("SERVER_NAME")
If Request.ServerVariables("SERVER_PORT") <> 80 Then strTemp = strTemp & ":" & Request.ServerVariables("SERVER_PORT")

strTemp = strTemp & Request.ServerVariables("URL")

If Trim(Request.QueryString) <> "" Then strTemp = strTemp & "?" & Trim(Request.QueryString)

strTemp = LCase(strTemp)

If Instr(strTemp,"select%20") or Instr(strTemp,"insert%20") or Instr(strTemp,"delete%20from") or Instr(strTemp,"count(") or Instr(strTemp,"drop%20table") or Instr(strTemp,"update%20") or Instr(strTemp,"truncate%20") or Instr(strTemp,"asc(") or Instr(strTemp,"mid(") or Instr(strTemp,"char(") or Instr(strTemp,"xp_cmdshell") or Instr(strTemp,"exec%20master") or Instr(strTemp,"net%20localgroup%20administrators") or Instr(strTemp,":") or Instr(strTemp,"net%20user") or Instr(strTemp,"'") or Instr(strTemp,"%20or%20") then
Response.Write "<script language='javascript'>"
Response.Write "alert('非法地址！！');"
Response.Write "location.href='error.asp';"
Response.Write "<script>"
End If
%>

以下是较为简单的防范方法，这些都是大家比较熟悉的方法，我就是转帖过来。希望能给你一点帮助~　　
主要是针对数字型的变量传递：

以下是引用片段：

id = Request.QueryString("id")
If Not(isNumeric(id)) Then
Response.Write "非法地址~"
Response.End
End If

回答者：匿名

等级：少校

时间：2008-05-01

我也来回答：

匿名回答

[

收藏] [

热点问题

·做一个像58那样的网站要多少钱?
·求51种子码！
·QQ空间的日志里如何插入视频节目？
·如何拥有一个能上传到QQ空间的视频地址
·我想以后给人做网站需要会什么软件
·一级域名注册
·Active Server Pages, ASP 0126 (0x800
·虚拟主机空间销售中的CPU资源分配是什
·QQ空间里的日志怎样插入视频？
·有什么好用的ASP CMS系统啊！？
·问各位原来的WWW.K8K8.COM
·Shockwave插件是什么意思啊
·花生壳申请的域名如何用在自己做的网页

本站首页

| 电脑常识 | 操作系统 | 安全防护 | 电子数码 | 多媒体 | 互联网 | 计算机技术 | 电脑软件 | 电脑通讯 | 电脑硬件

登陆验证页应做的安全问题有哪些

热点问题

相关问题