ホーム>ネットワークプログラミングチュートリアル>ASP チュートリアル

ASP Webサイトのトロイの木馬のデータベースの解決策

著者:Eve Cole 更新時間:2025-03-15 20:16:02

ASPを使用してアプリケーションを開発すると、この記事でASPデータベースが吊り下げられる状況に遭遇する可能性がありますあなたに役立ちます。

この記事では、Trojanの詳細なソリューションのプログラミング方法をASPデータベースに絞り込みます。

最初のステップ:

既存のデータベースのバックアップを作成します。

ステップ2:

データベース内のJSトロイの木馬を削除できるように、次のASPファイルを実行します。

注:自分で書いた。

「JSトロイの木馬のコンテンツをここに置く:あなた自身のデータベースでJSトロイの木馬のコンテンツに変更することを忘れないでください。

  1. <! - #includefile = conn.asp->
  3. <%
  5. server.scripttimeout = 180setrstschema = conn.openschema(20)
  7. k = 1
  9. dountilrstschema.eof 'データベーステーブルのトラバーサル
  11. ifrstschema(table_type)= tablethen
  13. respons.writek&。<fontcolor = red> <b>&rstschema(table_name)&</b> </font>: 'テーブル名setrs = server.createobject(adodb.recordset)を表示
  15. sql = select*from [&rstschema(table_name)&]
  17. rs.opensql、conn、1,3fori = 0tors.fields.count-1'transfer field ifint(rs(i).type)= 129
  19. orint(rs(i).type)= 130orint(rs(i).type)= 200Orint(rs(i).type)= 201Orint(rs(i).type)= 202Orint(rs(i).type)= 203then 'フィールドタイプの文字タイプのフィールドのみを処理します
  21. conn.execute(update [&rstschema(table_name)&] set&rs(i).name&= fack(cast(&rs(i).name&&
  23. Asvarchar(8000))、「JS Trojanコンテンツをここに置く」、 '、' '))))
  25. endif
  29. Response.Write <br>
  31. endif
  33. rstschema.movenext
  35. KK = K+1
  37. ループ
  39. response.write実行を正常に作成します
  41. %>

多くのデータベーステーブルがある場合、上記のトラバーサルデータベース構造は、実行する前にIISによって停止されます。この時点であなたはできます:

rstschema(table_type)=テーブルの場合

k値の範囲は、次のような適切に追加されます。

rstschema(table_type)= table k> 10およびk <20の場合

このようにして、一度に操作されるのは9つのテーブルのみです。

ステップ3:

データベースJSインジェクションの特性(http://などの文字が含まれる)によると、次のコードをconn.aspに入れます。

  1. functionCheack_sqljs() 'データベース外部リンクJSインジェクションを防ぐ:TRUEは、外部リンクJSインジェクションを発見することです。
  3. dimf_post、f_get
  5. check_sqljs = false
  7. ifrequest.form <> then 'foreachf_postinrequest.formifの検出(lcase(request.form(f_post))、
  9. <スクリプト)<> 0ORINSTR(lcase(request.form(f_post))、</script>)<> 0)
  11. andinstr(lcase(request.form(f_post))、http://)<> 0then
  13. check_sqljs = true
  15. exitfor
  17. endif
  21. endif
  23. ifrequest.querystring <> then'queryStringの検出foreachf_getinrequest.querystring
  25. if(strust(lcase.form(f_get))、<script)<> 0Orinstr(lcease.form(f_get))、</script>)<> 0)
  27. andinstr(lcase(request.form(f_get))、http://)<> 0then
  29. check_sqljs = true
  31. exitfor
  33. endif
  37. endif
  39. エンド機能
  41. functionCheckDataFrom() '提出されたデータを確認したソース:trueはサイトの外部からのデータに送信されます
  43. checkDataFrom = true
  45. server_v1 = cstr(request.servervariables(http_referer))server_v2 = cstr(request.servervariables(server_name))
  47. ifmid(server_v1,8、len(server_v2))<> server_v2then
  49. checkDataFrom = false
  51. endif
  53. エンド機能
  55. ifcheack_sqljsorcheckdatafromthen
  57. respons.write <scriptlanguage = javascript> alert( '実行は禁止されています、違法操作。'); </script> response.end()
  59. endif

これは、ASPデータベースがトロイの木馬を吊るしているときのプログラミング方法です。

関連記事