网站跨站点脚本,Sql注入等攻击的处理

最新推荐文章于 2025-04-13 11:41:57 发布
转载 最新推荐文章于 2025-04-13 11:41:57 发布 · 146 阅读 · 0
文章标签:

#php #数据库

本文提供了一段从360安全论坛获取的代码,该代码可在站点的Global.asax文件中使用,或通过创建HttpModule来拦截并检查潜在的恶意请求。检查范围包括Cookie、页面地址、RefererUrl、Post数据和Get数据。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

从360安全论坛里找到的一段代码,经过整理封装,直接在站点Global.asax文件或写一个HttpModule来拦截恶意请求即可;

http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=711&page=1&extra=#pid1927 

 

using System.Text.RegularExpressions;  
using System.Web;  
  
/// <summary>  
/// Web请求安全检查:防止跨站点脚本,Sql注入等攻击,来自:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=711&page=1&extra=#pid1927  
/// 检查数据包括:  
/// 1.Cookie  
/// 2.当前页面地址  
/// 3.ReferrerUrl  
/// 4.Post数据  
/// 5.Get数据  
/// </summary>  
public class Safe360  
{  
    #region 执行安全检查  
  
    /// <summary>  
    /// 执行安全检查  
    /// </summary>  
    public static void Procress()  
    {  
        const string errmsg =  
            "<div style='position:fixed;top:0px;width:100%;height:100%;background-color:white;color:green;font-weight:bold;border-bottom:5px solid #999;'><br>您的提交带有不合法参数,谢谢合作!<br><br>了解更多请点击:<a href='http://webscan.360.cn'>360网站安全检测</a></div>";  
  
        if (RawUrl())  
        {  
            HttpContext.Current.Response.Write(errmsg);  
            HttpContext.Current.Response.End();  
        }  
  
        if (CookieData())  
        {  
            HttpContext.Current.Response.Write(errmsg);  
            HttpContext.Current.Response.End();  
        }  
  
        if (HttpContext.Current.Request.UrlReferrer != null)  
        {  
            if (Referer())  
            {  
                HttpContext.Current.Response.Write(errmsg);  
                HttpContext.Current.Response.End();  
            }  
        }  
  
        if (HttpContext.Current.Request.RequestType.ToUpper() == "POST")  
        {  
            if (PostData())  
            {  
                HttpContext.Current.Response.Write(errmsg);  
                HttpContext.Current.Response.End();  
            }  
        }  
        if (HttpContext.Current.Request.RequestType.ToUpper() == "GET")  
        {  
            if (GetData())  
            {  
                HttpContext.Current.Response.Write(errmsg);  
                HttpContext.Current.Response.End();  
            }  
        }  
    }  
 
    #endregion  
 
    #region 安全检查正则  
  
    /// <summary>  
    /// 安全检查正则  
    /// </summary>  
    private const string StrRegex =  
        @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";  
 
    #endregion  
 
    #region 检查Post数据  
  
    /// <summary>  
    /// 检查Post数据  
    /// </summary>  
    /// <returns></returns>  
    private static bool PostData()  
    {  
        bool result = false;  
  
        for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)  
        {  
            result = CheckData(HttpContext.Current.Request.Form[i]);  
            if (result)  
            {  
                break;  
            }  
        }  
        return result;  
    }  
 
    #endregion  
 
    #region 检查Get数据  
  
    /// <summary>  
    /// 检查Get数据  
    /// </summary>  
    /// <returns></returns>  
    private static bool GetData()  
    {  
        bool result = false;  
  
        for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)  
        {  
            result = CheckData(HttpContext.Current.Request.QueryString[i]);  
            if (result)  
            {  
                break;  
            }  
        }  
        return result;  
    }  
 
    #endregion  
 
    #region 检查Cookie数据  
  
    /// <summary>  
    /// 检查Cookie数据  
    /// </summary>  
    /// <returns></returns>  
    private static bool CookieData()  
    {  
        bool result = false;  
        for (int i = 0; i < HttpContext.Current.Request.Cookies.Count; i++)  
        {  
            result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower());  
            if (result)  
            {  
                break;  
            }  
        }  
        return result;  
    }  
 
    #endregion  
 
    #region 检查Referer  
  
    /// <summary>  
    /// 检查Referer  
    /// </summary>  
    /// <returns></returns>  
    private static bool Referer()  
    {  
        return CheckData(HttpContext.Current.Request.UrlReferrer.ToString());  
    }  
 
    #endregion  
 
    #region 检查当前请求路径  
  
    /// <summary>  
    /// 检查当前请求路径  
    /// </summary>  
    /// <returns></returns>  
    private static bool RawUrl()  
    {  
        return CheckData(HttpContext.Current.Request.RawUrl);  
    }  
 
    #endregion  
 
    #region 正则匹配  
  
    /// <summary>  
    /// 正则匹配  
    /// </summary>  
    /// <param name="inputData"></param>  
    /// <returns></returns>  
    private static bool CheckData(string inputData)  
    {  
        return Regex.IsMatch(inputData, StrRegex);  
    }  
 
    #endregion  
}

  

 


在Global.asax里调用的代码:

 

private void Application_BeginRequest(object sender, EventArgs e)
{
    Safe360.Procress();
}

  

什么是跨站脚本 (XSS) 攻击
简介
01-04 2315
这一次,教会xss攻击!!!!!!!
折腾了两天的跨站脚本提交问题,与IIS7有关
weixin_33716941的博客
08-20 186
根据这里提供的方法,本地测试通过没有问题,但是部署到服务器上之后,只有GET请求可以跨站提交,POST请求继续报错,折腾了两天之后觉得,是不是IIS7的问题?果然,找到了这篇文章,照做之后解决。 转载于:https://www.cnblogs.com/mobydick/p/3269934.html...
360 webscan中防注入跨站攻击的核心
萧刚
08-26 1135
//get拦截规则 $getfilter = "\\||\\b(alert\\(|confirm\\(|expression\\(|prompt\\(|benchmark\s*?\\(\d+?|sleep\s*?\\([\d\.]+?\\)|load_file\s*?\\()|]*?\\bon([a-z]{4,})\s*?=|^\\+\\/v(8|9)|\\b(and|or)\\b\\s*?([
跨站脚本攻击漏洞(XSS):基础知识和防御策略
weixin_43263566的博客
01-16 1万+
跨站脚本攻击漏洞-基础篇
Web安全攻防:从SQL注入到XSS跨站脚本实战
最新发布
shejizuopin的博客
04-13 683
SQL注入和XSS跨站脚本攻击是Web应用中最常见的两种安全漏洞。为了有效防范这些攻击,开发者需要深入了解其原理和危害,并采取多种防御策略进行综合防护。在实际项目中,建议结合具体业务需求和环境配置,选择最适合的防御方案,并持续监控和更新系统以应对新型攻击手法。通过本文的实战分析,希望开发者能够更全面地了解SQL注入和XSS攻击,并掌握有效的防御技巧,为Web应用的安全保驾护航。
黑客实战教程-SQL注入攻击跨站脚本(XSS)攻击
ZTLJQ的博客
02-10 1318
网络安全是一个复杂的课题,但开发者可以通过一些基本的防护措施,有效降低风险。输入验证:对所有用户输入进行严格的格式检查和转义。使用安全协议:启用 HTTPS,配置 HSTS 和证书透明度。最小权限原则:为数据库、文件系统等资源分配最小的权限。持续学习:关注最新的安全动态和技术,及时修复漏洞。
常见的Web攻击方式:SQL注入、XSS跨站脚本攻击、CSRF跨站请求伪造
学习
07-07 7357
常见的Web攻击SQL注入、XSS跨站脚本攻击跨站请求伪造共三类,下面分别简单介绍。 1 SQL注入 1.1 原理        SQL注入就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。SQL注入漏洞到底是以怎样的形式进行攻击的呢,接下来将以一个简单的实例来进行介绍。   &...
asp防范跨站脚本攻击的的方法
10-30
跨站脚本攻击(Cross-Site Scripting,简称XSS)是一种常见的网络安全漏洞,它允许攻击者在受害者的浏览器上执行恶意脚本。ASP(Active Server Pages)是一种微软开发的服务器端脚本语言,用于创建动态网页。由于...
如何防止常见的Web应用程序安全漏洞(如SQL注入跨站脚本攻击等)?
wangnanofspirit的博客
05-12 1191
防止常见的Web应用程序安全漏洞,如SQL注入跨站脚本攻击(XSS),是确保Web应用程序安全性的重要方面。
【web安全】XSS攻击跨站脚本攻击)如何防范与实现
AA2534193348的博客
05-31 5558
XSS攻击跨站脚本攻击)是一种常见的Web安全漏洞,攻击者在Web页面中插入恶意脚本代码,并在受害人访问该页面时执行脚本代码,从而获取用户敏感信息、操作受害人账号或篡改页面内容等不当行为。XSS攻击可以通过输入表单、搜索框、评论区等途径实现,因此对于Web开发人员来说,要采取相应的措施预防和修复XSS漏洞,以确保用户数据的安全。
XSS-跨站脚本攻击
qq_64177395的博客
08-16 8180
跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets )的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的1.2 XSS类型反射型也称为非持久型,这种类型的脚本是最常见的,也是使用最为广泛的一种,主要用于将恶意的脚本附加到URL地址的参数中。
跨站脚本攻击(XSS)
凉茶铺的博客
07-26 6166
XSS,为不和层叠样式表(CascadingStyleSheets,CSS)的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往Web页面里插入恶意Script代码,当用户浏览该页之时,嵌入其中Web里面的Script代码会被执行,从而达到恶意攻击用户的目的。在一开始的时候,这种攻击的演示案例是跨域的,所以叫"跨站脚本"。但是发展到今天,由于JavaScript的强大功能基于网站前端应用的复杂化,是否跨域已经不再重要。但是由于历史原因,XSS这个名字一直保留下来。(2)页面展示...
XSS(跨站脚本攻击)详解
hello
07-02 4318
XSS简述-XSS类型-XSS常用标签
跨站脚本攻击(XSS)分类介绍及解决办法
热门推荐
半夏_2021的博客
04-26 2万+
Cross-Site Scripting(跨站脚本攻击)简称 XSS,是一种代码注入攻击攻击者通过在目标网站注入恶意脚本,使之在用户的浏览器上运行。利用这些恶意脚本攻击者可获取用户的敏感信息如 Cookie、SessionID 等,进而危害数据安全。
【网络安全】跨站脚本(xss)攻击
qq_22744093的博客
08-18 906
在其他情况下,数据可能来自其他不受信任的来源;例如,显示通过 SMTP 接收的消息的网络邮件应用程序、显示社交媒体帖子的营销应用程序或显示来自网络流量的数据包数据的网络监控应用程序。当应用程序包含一些客户端 JavaScript 以不安全的方式(通常是将数据写回 DOM)处理来自不受信任源的数据时,就会出现基于 DOM 的 XSS(也称为 DOM XSS)。当应用程序从不受信任的源接收数据并以不安全的方式将该数据包含在其后续的 HTTP 响应中时,就会出现存储型 XSS(也称为持久性或二阶 XSS)。
Web安全之XSS跨站脚本攻击:如何预防及解决
J老熊
09-07 2484
XSS(跨站脚本攻击,Cross-Site Scripting)是一种常见的Web安全漏洞,通过注入恶意代码(通常是JavaScript)到目标网站的网页中,以此在用户浏览网页时执行。攻击者可以通过XSS获取用户的敏感信息(如Cookie、会话令牌)或控制用户浏览器的行为,进而造成信息泄露、身份冒用等严重后果。XSS是Web应用中最常见的安全漏洞之一,通过合理的输入过滤、输出转义以及CSP等防护手段,可以有效防御此类攻击
XSS-跨站脚本攻击(非常详细),零基础入门到精通,看这一篇就够了
ewii12567的博客
03-05 2619
跨站脚本攻击(xss),指攻击者通过篡改网页,嵌入恶意脚本程序,在用户浏览网页时,控制用户浏览器进行恶意操作的一种攻击方式。跨站脚本攻击(Cross Site Scripting),为了不和层叠样式表(Cascading Style Sheets )的缩写混淆,故将跨站脚本攻击缩写为XSS。恶意攻击者往web页面里插入恶意script代码,当用户浏览该页时,嵌入其中web里面的script代码会被执行,从而达到恶意攻击用户的目的在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值