ASP.NET 修改Global.asax文件,防SQL注入式攻击

最新推荐文章于 2019-03-29 15:59:00 发布
转载 最新推荐文章于 2019-03-29 15:59:00 发布 · 1.4k 阅读 · 1
文章标签:

#asp.net #sql #string #代码分析 #null

本文介绍了一种在ASP.NET应用程序中防止SQL注入攻击的方法。通过在Global.asax文件中加入特定代码,可以拦截并检查用户的输入请求,确保其不包含恶意SQL命令。
<script type="text/javascript" src="http://pagead2.googlesyndication.com/pagead/show_ads.js"> </script>
ASP.NET 修改Global.asax文件,防SQL注入式攻击
2008-07-24 04:26 P.M.

只需在Global.asax文件中加入如下方法即可:

#region SQL注入式攻击代码分析
        /// <summary>
        /// 处理用户提交的请求
        /// </summary>
        private void StartProcessRequest()
        {
            try
            {
                string getkeys = "";

                if (System.Web.HttpContext.Current.Request.QueryString != null)
                {

                    for (int i = 0; i < System.Web.HttpContext.Current.Request.QueryString.Count; i++)
                    {
                        getkeys = System.Web.HttpContext.Current.Request.QueryString.Keys[i];
                        if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.QueryString[getkeys]))
                        {
                            System.Web.HttpContext.Current.Response.Write("<h3>不能包含执行语句</h3>");
                            System.Web.HttpContext.Current.Response.End();
                        }
                    }
                }
                if (System.Web.HttpContext.Current.Request.Form != null)
                {
                    for (int i = 0; i < System.Web.HttpContext.Current.Request.Form.Count; i++)
                    {
                        getkeys = System.Web.HttpContext.Current.Request.Form.Keys[i];
                        if (getkeys == "__VIEWSTATE") continue;
                        if (!ProcessSqlStr(System.Web.HttpContext.Current.Request.Form[getkeys]))
                        {
                            jcFAQApp.FAQ_Util.Log.WriteMessage("<font color:red>注入攻击</red>", System.Web.HttpContext.Current.Request.UserHostAddress.ToString());
                            System.Web.HttpContext.Current.Response.Write("<h3>不能包含执行语句</h3>");
                            System.Web.HttpContext.Current.Response.End();
                        }
                    }
                }
            }
            catch
            {

            }
        }
        /// <summary>
        /// 分析用户请求是否正常
        /// </summary>
        /// <param name="Str">传入用户提交数据 </param>
        /// <returns>返回是否含有SQL注入式攻击代码 </returns>
        private bool ProcessSqlStr(string Str)
        {
            bool ReturnValue = true;
            try
            {
                if (Str.Trim() != "")
                {
                    //string SqlStr = "and ¦exec ¦insert ¦select ¦delete ¦update ¦count ¦* ¦chr ¦mid ¦master ¦truncate ¦char ¦declare";
                    string SqlStr = "exec ¦insert ¦select ¦delete ¦update ¦mid ¦master ¦truncate ¦declare";
                    string[] anySqlStr = SqlStr.Split('¦');
                    foreach (string ss in anySqlStr)
                    {
                        if (Str.ToLower().IndexOf(ss) >= 0)
                        {
                            ReturnValue = false;
                            break;
                        }
                    }
                }
            }
            catch
            {
                ReturnValue = false;
            }
            return ReturnValue;
        }
        #endregion

服务器被入侵攻击导致被劫持
weixin_67757219的博客
02-08 507
通过对网站目录里的文件进行了代码安全审计,发现被上传了aspx木马后门,而且日期是2022年2月3日的,通过对日志的分析对比,发现黑客下载了网站的备份文件,通过上传功能的upload.aspx文件直接上传了木马后门,本身aspx的权限就比较大,可以直接提权拿到服务器权限,想到这里,对服务器的用户和用户组进行了比对,发现被增加了隐藏的管理员账户(客户网站的运营者没有发现,是因为你点开用户管理是看不到的,只能由我们小蚁云安全技术通过比对注册表进行对比才能看到),说明服务器也被黑客拿下了。
Asp.netGlobal.asax设置Sql注入
Momolt的专栏
09-29 2455
using System; using System.IO; public partial class Global : System.Web.HttpApplication { protected void Application_Start(object sender, EventArgs e) { //在应用程序启动时运行的代码 } pro
通用SQL注入漏洞程序(Global.asax方式)_aspx开发教程.rar
09-09
通用SQL注入漏洞程序(Global.asax方式)_aspx开发教程
通过Global.asax实现简单的url重写
weixin_34124939的博客
05-27 133
实现目标 在列表页list.aspx中点击某一条内容后显示该条内容的详细信息,一般通过details.aspx?id=5的方式实现,在url栏通过get方法提交参数,为做到对搜索引擎友好,url地址简单可对其进行重写,如list_5.aspx、或list/5.aspx等达到这样的效果。 编码实现,通过正则表达式匹配查找id,再重写 void Application_BeginReques...
Global.asax详解
weixin_30436101的博客
08-21 764
转自:http://blog.163.com/zhu_jie66/blog/static/364322642007102744510454/ global.asax是一个文本文件,它提供全局可用代码。这些代码包括应用程序的事件处理程序以及会话事件、方法和静态变量。有时该文件也被称为应用程序文件global.asax文件中的任何代码都是它所在的应用程序的一部分。...
通过Global.asax过滤关键字 sql注入
weixin_34402408的博客
12-03 286
从别的地方看到的,在此记录一下,方法有待考察 通过Global.asax过滤关键字 方法一: protected void Application_BeginRequest(Object sender, EventArgs e) { //SQL注入 string Sql_1 = "exec|insert+|select+|delete|up...
asp.net SQL注入攻击
10-29
总结来说,通过在Global.asax中配置Web.config中的安全参数设置,并且利用parameterCheck.cs数据验证类进行输入验证,可以在整个网站范围内有效地SQL注入攻击。这种集中式安全策略不仅提高了安全效率,还大大...
ASP.NET源码——[影音娱乐]穷小子asp.net音乐盗链程序.zip
10-10
ASP.NET提供了内置的安全机制,如Forms身份验证、角色管理、SQL注入护等,确保系统安全。 7. **调试与部署** 开发过程中,开发者会利用Visual Studio的调试工具进行代码调试。部署时,ASP.NET应用程序可以被发布...
超酷的Asp.net2.0留言板.zip
06-19
8. **错误处理和调试**:ASP.NET 2.0提供了详细的错误处理机制,如Global.asax文件中的Application_Error事件,以及调试工具,帮助开发者快速定位和修复问题。在留言板应用中,可能出现的错误如SQL注入、用户输入...
ASP.NET成绩管理系统源码(含数据库)_C#_.net_asp.net_
10-01
4. **Global.asax**: 这是ASP.NET应用程序的全局应用程序文件,用于定义应用程序级事件,如应用程序启动、结束、会话开始和结束等。它可以设置全局变量、注册路由或实现自定义错误处理。 5. **AdminStuAdd.aspx, ...
有效预SQL注入攻击的策略与实践
SQL注入式攻击SQL Injection)是网络安全领域中一个非常重要的议题,因为SQL注入攻击可能导致数据库信息泄露、数据被恶意修改、服务器被控制等严重后果。SQL注入攻击是针对数据库的攻击手段,攻击者通过在Web...
ASP.NET获取各级目录Server.MapPath详解全
10-28
ASP.NET获取各级目录Server.MapPath详解全,需要的朋友可以参考下。
一种通用SQL注入漏洞程序(Global.asax方式)
分享经验,共同进步.
06-17 2569
原理很简单:使用Global.asax中的Application_BeginRequest(object sender, EventArgs e)事件,实现表单或URL提交数据的获取,然后通过SQLInjectionHelper类完成恶意代码的检查。本代码只是考虑到通用性和部署简易性,因为项目已经开发完毕,并已经上线,为避免大量修改,才写的这个通用程序,大家可以在这里面加入不需要检查的表单值,
Request简单总结
weixin_30518397的博客
10-10 113
Request简单使用: 说起Request,在项目中基本都必须有用到,这里记录一下我了解到的关于Request的内容: 直接代码: 非常基本的当然有Reqeust.Form和Request.QueryString,两者的区别这里不多说. 1 String name=Request.Form["Name"];//post请求或者表单上传 2 3 String id=Request...
.net通用SQL注入漏洞程序(Global.asax方式)详细用法
xinshi9608的专栏
07-15 1964
大家对于SQL注入攻击一般都是采用SQL参数语句的办法,现在介绍一种在.net通用SQL注入漏洞程序(Global.asax方式)简易方法
如何处理 网站被网安大队下发的信息系统安全等级保护限期整改通知书
weixin_33862188的博客
06-14 2832
2018年6月,我们接到一位来自北京的新客户反映,说是他们单位收到一封来自北京市公安局海淀分局网安大队的通知书,通知称:贵单位网站存在网络安全漏洞,网站被植入后门程序,要求你单位要在XX日之前,对网站进行安全整改,并要求提供完整的整改方案。对于未按期整改的,将被予以进行行政处罚,如下图所示: 网安大队的限期整改通知书,内容如下: 北...
HttpClient 简单使用 学习记录
09-27 176
坑:1 同步也异步问题;2 乱码问题 ;3 参数问题 HttpClient 作为发送方传递参数时,接收方为WebApi,此时有多种接收方法 1:直接用实体接收,适用于多参数 2:用System.Web.HttpContext.Current.Request.QueryString[“参数...
.NET System.Web.HttpContext.Current.Request报索引超出数组界限。
03-29 412
移动端使用Dio发送 FormData, 请求类型multipart/form-data, FormData内可以一个或多个包含文件时。 请求接口时获取上传的fomdata数据使用System.Web.HttpContext.Current.Request 接受时 报索引超出数组界限问题。 使用MultipartFormDataStreamProvider接受数据不受影响。 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值