被动防SQL注入

最新推荐文章于 2022-03-20 22:58:48 发布
最新推荐文章于 2022-03-20 22:58:48 发布
阅读量752 收藏
点赞数 1
分类专栏: ASP 文章标签: sql function url each insert delete
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/xck01/article/details/2451022
版权
<%
call sql_into_check() '调用ql防注入代码2008-05-14 kz
'=================sql防注入代码=============================2008-05-14 kz
sub sql_into_check()
dim sql_injdata
SQL_injdata = "'|;|and|exec|insert|select|delete|update|count|*|%|chr|mid|master|truncate|char|declare"'过滤字符
SQL_inj = split(SQL_Injdata,"|")
if pageName()="xxx.asp" or pageName()="xxx1.asp" or pageName()="xxx2.asp"  then
'路过
else
 If Request.Form<>"" Then
  For Each Sql_Post In Request.Form
   For SQL_Data=0 To Ubound(SQL_inj)
    if instr(lcase(Request.Form(Sql_Post)),Sql_Inj(Sql_DATA))>0 Then
     Response.Write "<Script Language=JavaScript>alert('SQL防注入提示:/n你提交了非法字符,此次提交失败!');history.back(-1);</Script>"
     Response.end
    end if
   next
  next
 end if
end if
If Request.QueryString<>"" Then
 For Each SQL_Get In Request.QueryString
  For SQL_Data=0 To Ubound(SQL_inj)
   if instr(lcase(Request.QueryString(SQL_Get)),Sql_Inj(Sql_DATA))>0 Then
    Response.Write "<Script Language=JavaScript>alert('SQL防注入提示:/n你提交了非法字符,此次提交失败!');history.back(-1);</Script>"
    Response.end
   end if
  next
 Next
End If
end sub
'过滤涵数2008-05-15 by kz
Function CheckNumeric(Number)
If Not IsNumeric(Number)  then
CheckNumeric = 0
Else
CheckNumeric = Number
End If
End Function
Function Checkstr(Str)
If Isnull(Str) Then
CheckStr = ""
Exit Function 
End If
Str = Replace(Str,Chr(0),"")
CheckStr = Replace(Str,"'","''")
End Function

Public Function pageName()
  Dim url,urlParts
  url = Request.ServerVariables("SCRIPT_NAME")
  urlParts = Split(url,"/")
  pageName = urlParts(UBound(urlParts))
 End Function
%>
SQL注入——SQL注入具体御方案
cldimd的博客
03-19 1863
1.GPC/RUNTIME魔术引号 magic_quotes_gpc负责对GET,POST,COOKIE的值进行过滤。 magic_quotes_runtime对从数据库或者文件中获取的数据进行过滤。 通常在开启这两个选项之后能住部分SQL注入漏洞被利用,因为我们之前也介绍了,在某些环境下存在绕过,在INT型注入上是没有多大作用的。 通常数据污染有两种...
SQL注入--sqlmap自动化注入工具
pygain的博客
10-09 1万+
相对于手工注入,自动化工具更加快捷不用反复写入SQL语句,但是不如手工注入的灵活性好,二者各有千秋,在适合的时候使用适合的方法才能拥有最高的工作效率 简单的使用过程如下 后边我会把最新版的sqlmap下载地址放出 (XAMPP搭建的并非MYSQL数据库,所以能够在不添加SQL函数的情况下拿shell,在mssql和oracle中并没有这样的问题可直接拿shell)
各种sql注入、攻击 说明
lrlnh的专栏
08-09 514
sql注入,什么是sql注入SQL注入 所谓SQL注入,就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令。 通过一下的例子更形象的了解SQL注入: 有一个Login画面,在这个Login画面上有两个文本框分别用来输入用户名和密码,当用户点了登录按钮的时候,会对输入的用户名和密码进行验证。验证的SQL语句如下:      
关于被动扫描器中SQL注入使用'"\(关键词的解释
朱老黑的博客
12-11 2842
关于被动扫描器中SQL注入使用'"\(关键词的解释 在使用w13scan、XRAY等扫描器过程中发现都使用了’"(关键词作为报错注入中的检测payload,但是对于关键词在最开始不理解,后来查阅资料发现大致释义如下。 ’"(payload在默认开启转义的情况下,会被转移成如下字符串 ’"( => ’"\( select * from admin where name=“...
宽字节注入(对于【’”(】字符的理解)
f0ng的博客
10-09 1146
扫描器扫到这个字符,但是不懂什么意思,且与平常的宽字节注入%df不同,查了下资料,这个博主说得挺好: https://blog.youkuaiyun.com/wudijinchuangyao/article/details/103497665 但是当编码与数据库编码无法对应时就会出现宽字节注入问题,就会变成如下 几个字符编码对应如下 E65C ’ 27 " 22 \ 5C ( 28 带入到数据库内拆分重组变为 E6→(无对应字符串) 5C→\ 27→' 22→" 5C→\ 28→( 最终带入到数据库内就会
宽字节注入详解
xyx107的博客
08-11 5266
尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型。也有一些cms为了考虑老用户,所以出了gbk和utf-8两个版本。 我们就以gbk字符编码为示范,拉开帷幕。gbk是一种多字符编码,具体定义自行百度。但有一个地方尤其要...
Xray扫描器
秋水的博客
10-06 3万+
简介 xray是一款可以使用HTTP/HTTPS代理进行被动扫描的安全工具,支持功能如下 独立的 URL 扫描 基于 HTTP 的被动代理扫描,同时支持HTTPS SQL注入检测模块 命令注入检测模块 任意重定向检测模块 路径遍历模块 Xray扫描器内置插件 XSS漏洞检测 (key: xss):利用语义分析的方式检测XSS漏洞 SQL 注入检测 (key: sqldet...
Argusscan:分布式被动SQL注入检测系统
05-15
Argusscan 分布式SQL注入检测系统 简介 使用Python开发,客户端通过scapy采集本机的HTTP流量,转发到服务器,由服务器对漏洞检测任务进行统一管理,分配给Slave节点执行。 Client 客户端,在setting.ini中进行HTTP...
基于sqlmap的被动SQL注入扫描技术研究与实现.pdf
09-19
从提供的文件内容来看,文章主要讨论了使用sqlmap工具来实现被动SQL注入扫描技术的研究与实践。接下来,我将详细解读文件中所涉及的相关知识点。 **SQL注入概述** SQL注入是当前Web安全领域中一个非常严重的安全...
Fox-scan 是一种主动和被动SQL 注入易受攻击的测试工具
03-01
Foxscan 是一个款基于SQLMAP的主动和被动资源发现的漏洞扫描工具,在设置浏览器代理后访问目标网站即可获取浏览器访问的链接,并且进行简单的爬虫获取链接,去除一些静态文件和第三方网站后,放入sqlmap中进行检测。
基于Python和HTML的Fox-scan SQL注入检测工具源码设计
最新发布
10-04
本项目提出的基于Python和HTML的Fox-scan SQL注入检测工具,是网络安全部门和网站开发者们的福音,它可以提供主动和被动两种检测方式,帮助用户及时发现和修复潜在的SQL注入漏洞。 首先,Python作为一种高级编程...
验证码识别 登陆 爆破 暴力破解 工具F-Login F-Verify
04-19
验证码识别 登陆 爆破 暴力破解 工具F-Login F-Verify,国内安全团队开发的验证码识别工具,能够识别验证码并实现密码爆破
SQL注入详解
热门推荐
huangyongkang666的博客
03-20 4万+
SQL注入详解 1.SQL注入简介 ​ SQL注入是比较常见的网络攻击方式之一,它不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至篡改数据库。 ​ Sql 注入攻击是通过将恶意的 Sql 查询或添加语句插入到应用的输入参数中,再在后台 Sql 服务器上解析执行进行的攻击,它目前黑客对数据库进行攻击的最常用手段之一 2. sql 注入产生原因及威胁 ​ 当我们访问动态网页时, Web 服务器会向数据访问层发起 Sql 查询请求,如果权限验证通过就会执行
被动扫描注入的实践
Matthew
02-20 2799
最近看了一些文章都提到了流量镜像的问题,流量镜像的好处就是可以将我们上网的流量都记录下来,利于在黑盒渗透的时候找到不被发觉的一些问题,也可以把这些包提交到sqlmap进行自动检测。 Sqlmap作为一个神器,它留了一个接口给我们调用,然后再进行被动注入检测,在github上搜到一个做好的的封装包, https://github.com/OneSourceCat/sqli-proxy/blob
[转载]深入理解SQL注入绕过WAF和过滤机制
weixin_33991727的博客
06-27 2249
知己知彼,百战不殆 --孙子兵法 [目录] 0x0 前言 0x1 WAF的常见特征 0x2 绕过WAF的方法 0x3 SQLi Filter的实现及Evasion 0x4 延伸及测试向量示例 0x5 本文小结 0x6 参考资料 0x0 前言 促使本文产生最初的动机是前些天在做测试时一些攻击向量被WAF挡掉了,而且遇到异常输入直接发生重定向。之前对WAF并不太了解,因此趁此...
重庆移动通话清单统计(EXCEL文件从重庆移动网上下载)
科长专栏
05-11 4053
%@LANGUAGE="VBSCRIPT" CODEPAGE="936"%>http://www.w3.org/TR/html4/loose.dtd">科长电话清单     查询号码对方号码通话时间时长类型费用     建立Connection对象  Dim db,rs,strSql,dbxls  dbxls="book1.xls"  Set db = Server.CreateObject
ASP打印某文件的兄弟文件的文件名(按文件大小排序)
科长专栏
04-25 1202
<!--.D { font-family: "宋体"; font-size: 20pt; font-style: normal; line-height: 13pt; font-weight: normal; font-variant: normal; text-transform: none}.Z { font-family: "宋体"; font-size: 9pt; fo
ASP创建并打开SQL数据库连接语句段
科长专栏
05-09 1031
on error resume nextset Cn=server.createobject("adodb.connection")Cn.open "driver={sql server};description=sqldemo;server=127.0.0.1;uid=sa;pwd=123;database=cqsloa008"    If Err Then        err.Clea
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值