Ph4studioからブログを選択するために、一般的なASPアストインジェクションプログラムを作成します
キーワード用の一般的なASPアスト注入プログラムを作成します
ソース
SQLインジェクションは、初心者レベルでいわゆるハッカーによって演奏されました。ほとんどのハッカー侵入は、SQL注入に基づいていることがわかりました。
、悲しいかな、誰がこれを簡単に始めたのですか?わかりました、もうナンセンスについては話しません。
一般的なHTTPリクエストは、すべての投稿または取得リクエストパラメーター情報をフィルタリングする限り、取得して投稿するだけです
違法な文字で十分なので、HTTP要求情報フィルターを使用して、SQLインジェクション攻撃の対象かどうかを判断できます。
iisはasp.dllに渡され、request.querystringデータに渡されると、文字列の形式です。
ASPパーサーは、request.querystringの情報を分析し、「&」に従って各配列のデータを分割します。
したがって、次のように傍受してください
まず、リクエストに次の文字を含めることができないことを定義します
'| and | exec | insert | select | delete | update | count |*|%| chr | mid | master | truncate | char | declare
各キャラクターは「|」で区切られてから、リクエストを判断します。
特定のコードは次のとおりです
dimsql_injdata
sql_injdata = "'| and | exec | insert | select | delete | update | count |*|%| chr | mid | master | truncate | char | declare"
sql_inj = split(sql_injdata、 "|")
ifrequest.querystring <> "" then
foreachsql_getinrequest.querystring
forsql_data = 0toubound(sql_inj)
ifinstr(request.querystring(sql_get)、sql_inj(sql_data))> 0then
respons.write "<scriptlanguage = ****> alert( 'Tianxia Movie Alliance SQL Universal Antiinject System Prompts↓nnpleaseは、パラメーターに違法な文字を含めて、注入しようとしない!'); history.back(-1)</script>"
Response.End
endif
次
次
endif
このようにして、GETリクエストの噴射の傍受を実装しますが、POSTリクエストもフィルタリングする必要があるため、配列の形で存在するrequest.formを引き続き検討する必要があります。再び判断を下すためにループに行くだけです。コードは次のとおりです
ifrequest.form <> "" then
foreachsql_postinrequest.form
forsql_data = 0toubound(sql_inj)
ifinstr(request.form(sql_post)、sql_inj(sql_data))> 0then
respons.write "<scriptlanguage = ****> alert( 'Tianxia Movie Alliance SQL Universal Antijection System Prompts↓nnpleaseはパラメーターに違法な文字を含めていません!nnhttp://www.521Movie.com')
Response.End
endif
次
次
endif
OK、ジョブは完了しました。GETリクエストと投稿の情報傍受を実装しました。 conn.aspなどのデータベースファイルを開く前に、このページを参照する必要があります。自信を持ってプログラムを開発し続けてください。SQLインジェクションによって攻撃されるかどうかを検討する必要はありません。そうじゃない?