2010年07月28日
by 江小邪
74 Views
0 comments
最近我的网站经常把js脚本注入到数据,清除了又来。先后在网上找了很多的方法,还是没有用的,十分恼火。
首先先告诉大家一个批量清除代码的sql语句。
update 表名 set 字段=replace(字段,’script src=http://3b3.org/c.js>
1、分析那些无聊的人,或者有些病态的人究竟做了些什么 。
通过iis的日志或者microsoft urlscan 日志查看,在一些通过id查询数据库内容的时候后面被人加了一段很长的字符窜。
%%3B%%44%%65%%43%%4C%%61%%52%%45%%类似这样的字符窜,一定是其他的方式编码
首先我们先用工具分析下如此之长的字符窜究竟包含了些什么内容。
通过批量替换工具把%%全部替换成空,然后把得到的字符串通过其他的转码工具,转成字符窜。
;DeCLaRE @S NvArCHaR(4000);SeT @S=CaSt(0×45这里代码去掉了06F007200 aS NvArChAR(4000));ExEc(@S);–
就是一段与通过id查询数据库同时执行的sql,就给数据库某些表的字段加入了js病毒连接。
2、所以我们的原来的防sql注入的字符串就需要升级了。
如果过滤16进制
; 对应 3B
DeCLaRE 对应 4465434C615245
@ 对应 40
NvArCHaR 对应 4E76417243486152
set 对应 536554
CaSt 对应 43615374
as 对应 6153
exec 对应 45784563
- 对应 2D
把16进制的代码用|隔开放到injdata 里面
injdata = “3B|2D|’|;|and|exec|insert|select|delete%20from|update|count|”
然后自己测试下,程序是否拦击了这些16进制的代码,本人测试过是可以拦击的,如果不加入这些是不拦击的
照样可以注入到数据库。
标签Tags:
ASP,
js,
sql,
url,
人,
代码,
工具,
数据,
数据库,
方法,
服务器构建&安全,
程序,
类,
网站,
诫,
连接,
防注入
相关日志
服务器构建&安全
2010年07月28日
by 江小邪
77 Views
0 comments
一个用户的网站被挂马 很多以prn.开头的文件…这个文件其实是windows禁止建立的..但是可以在dos建立
所以在dos下用更改属性 结果不让改
然后想恢复权限 不让恢复 ,网站的跟目录被加了几个文件,怎么删也删不掉,
prn.gupiao.asp
prn.liuhe.asp
com1.shouji.asp
或是COM2,COM8等文件主,
第一步:打开工具>文件夹选项>查看>有一项为”隐藏受保护的操作系统文件(推荐)”,去掉其前边的钩,选中”显示所有文件和文件夹”
第二步:建立一个del.bat的文件 把以下代码黏贴进去…
DEL /F /A /Q \\?\%1
RD /S /Q \\?\%1
然后要删那个文件就把那个文件拖进去即可….
但是又遇到问题了…有一个顽固的…PRN.asp;.jpg 拖进去也删不掉….
不过没问题 这个也可以删…先把这个文件的文件夹里的其他的文件备份…
然后把文件夹拖过去…^_^ 删了吧…
然后把备份的文件 拷回去 ok了
标签Tags:
ASP,
代码,
属性,
工具,
操作系统,
服务器构建&安全,
系统,
网站,
隐藏
相关日志
服务器构建&安全
2010年07月26日
by 江小邪
76 Views
0 comments
(全文…)
标签Tags:
apache2,
code,
iis6.0,
include,
mysql,
path,
PHP,
PHP,
php.ini,
server,
session,
sql,
url,
web,
上传,
中文,
兼容,
初学者,
区别,
失败,
密码,
应用程序,
数据,
数据库,
方法,
版本,
程序,
网站,
网络编程,
解决,
解决方法,
设计,
诫,
邮件,
错误,
页面,
验证
相关日志
PHP, 网络编程
2010年07月26日
by 江小邪
64 Views
0 comments
上个月我发现许多Web2.0网站大量运用了ajax,但是其中有些很奇怪,因为他们的速度比起前慢了,并且有时候不起作用(在移动设备上),我总结了十条用Ajax的错误(平台无关)
1、 不要通过把整个页面都放在UpdatePanel中更新整个页面。在你运行网页时需要节省时间,不要更新那些可以用javascript and DHTML (DOM)的部分。
2、 要始终记得有这么几种访问者,他们不能用JavaScript或者用的版本比较老的浏览器或者他们对JavaScript支持不好,比如说移动设备。如果这些都不支持,你的访问者能看到什么?
3、 在客户端浏览器缓存相同的请求或者在we服务器端执行缓存。最好的例子是自动完成个下拉菜单,他们的填充在任何时刻都是相同的,一个有错误写法的自动完成的写法可以减慢你的Web服务器(数据库服务器),因为那样会有比起以前用IsPostBack更多地请求。想一下不停的按F5刷新你的网页的情形。如果你有层叠的下拉菜单你就会结算更多地请求。
4、 在你运用CSS或JavaScript时,不要运行,并发的或者运行很长时间的Ajax请求,一般的浏览器只能有两个并发的http连接(我知道可以给变这个,但是默认的还是设为两个)。如果在读取图片的时候由很多Ajax请求的话,速度会变得很慢。
5、 什么时候都用异步调用的方法发送XMLHttpRequest.。如果你要用同步的方法也是没有请问题的,你的浏览器不会因为网络问题或是连接速度慢而冻结的
6、 试着让你的web应用使用一个很慢的网络连接,再尝试用快的TCP/IP连接
7、 你的web应用是作为桌面程序的替代品?你注意观察过一般浏览器在运行你的Web应用一小时,两小时或者几天时内存的使用。不是所有人都有你那样好的机器。
8、 检查在你返回XMLHttpRequest时你的http请求状态代码(status code),那会有一些常见的网络错误像是不可获得的DNS,Http Server error 500 ,你曾经检查过状态代码(status code),它可以告诉你浏览器在一个为连接的模式
9、 试着禁止XMLHttpRequest object!用IE7你能用native object代替ActiveX object,但是你也可以禁止native object。
10、检查你AJAX requests的安全性!你简单的打开了你的数据访问层吗?充分运用FormsAuthentication和PrincipalPermissions。是不是任何人都可以建立一个请求(不只是点击一个链接)?
标签Tags:
ajax,
code,
css,
dhtml,
html,
http请求状态,
ie,
javascript,
JavaScript&Ajax,
server,
status,
web,
web2.0,
xml,
xmlhttp,
人,
代码,
图片,
数据,
数据库,
方法,
更新,
浏览器,
版本,
程序,
网站,
网络编程,
连接,
链接,
错误,
页面
相关日志
JavaScript&Ajax, 网络编程
2010年07月26日
by 江小邪
68 Views
0 comments
一、 引言
毫无疑问,AJAX已经成为当今Web开发中一种强有力的用户交互技术,但是它的许多可能性应用仍然鲜为人知。在本文中,我们将来共同探讨如何使用JavaScript对象标志(JSON)和JSON分析器在服务器和客户端AJAX引擎之间创建复杂而强有力的JSON数据传输层。我们将详细讨论如何创建一组对象(在其它语言中经常被当作一个包),如何把这些对象串行化为JSON以发送到服务器端,以及如何把服务器端JSON反串行化为客户端JavaScript对象。
提示:你可以在Douglas Crockford的网站上找到本文中使用的JSON分析器。
在继续阅读前,本文假定你已经掌握了JavaScript技术并且了解如何创建一个基本的AJAX引擎,并经由AJAX技术向服务器端发出请求和从服务器端接收响应。为了更好地理解本文中示例,你需要下载本文相应的源码文件。 (全文…)
标签Tags:
ajax,
div,
html,
javascript,
js,
mod,
PHP,
url,
web,
xml,
人,
代码,
分离,
对象,
属性,
应用程序,
数据,
数据库,
方法,
浏览器,
程序,
类,
网站,
网络编程,
自身,
诫,
链接,
面向对象
相关日志
PHP, 网络编程
2010年07月22日
by 江小邪
46 Views
0 comments
在做网站过程中,常常要修改网站模板,而模板受css控制。如果在用CSS设计布局时遇到BUG,请认真阅读以下内容,非常容易记忆的,不知道哪位高人把CSS BUG编成了*****了!看看好不好记住呢?
一、IE边框若显若无,须注意,定是高度设置已忘记;
二、浮动产生有缘故,若要父层包含住,紧跟浮动要清除,容器自然显其中;
三、三像素文本慢移不必慌,高度设置帮你忙;
四、兼容各个浏览须注意,默认设置行高可能是*****;
五、独立清除浮动须铭记,行高设无,高设零,设计效果兼浏览;
六、学布局须思路,路随布局原理自然直,轻松驾驭html,流水布局少hack,代码清爽,兼容好,友好引擎喜欢迎。
七、所有标签皆有源,只是默认各不同,span是无极,无极生两仪—内联和块级,img较特殊,但也遵法理,其他只是改造各不同,一个*号全归原,层叠样式理须多练习,万物皆规律。
八、图片链接排版须小心,图片链接文字链接若对齐,padding和vertical-align:middle要设定,虽差微细倒无妨。
九、IE浮动双边距,请用display:inline拘。
十、列表横向排版,列表代码须紧靠,空隙自消须铭记。
标签Tags:
css,
html,
ie,
人,
代码,
兼容,
图片,
容器,
模板,
网站,
设计,
诫,
邪人邪语,
链接
相关日志
邪人邪语
2010年05月23日
by 江小邪
157 Views
0 comments
1、什么是Rsync
Rsync(remote synchronize)是一个远程数据同步工具,可通过LAN/WAN快速同步多台主机间的文件。Rsync使用所谓的“Rsync算法”来使本地和远程两个主机之间的文件达到同步,这个算法只传送两个文件的不同部分,而不是每次都整份传送,因此速度相当快。
(全文…)
标签Tags:
ie,
include,
mod,
path,
server,
web,
代码,
判断,
失败,
实例,
密码,
属性,
工具,
搜索,
数据,
方法,
更新,
服务器构建&安全,
源代码,
版本,
程序,
类,
系统,
网站,
表,
说明,
连接,
链接,
错误,
镜像,
隐藏
相关日志
服务器构建&安全
2010年05月23日
by 江小邪
195 Views
3 comments
正则表达式匹配,其中:
* ~ 为区分大小写匹配
* ~* 为不区分大小写匹配
* !~和!~*分别为区分大小写不匹配及不区分大小写不匹配
文件及目录匹配,其中:
* -f和!-f用来判断是否存在文件
* -d和!-d用来判断是否存在目录
* -e和!-e用来判断是否存在文件或目录
* -x和!-x用来判断文件是否可执行
flag标记有:
* last 相当于Apache里的[L]标记,表示完成rewrite
* break 终止匹配, 不再匹配后面的规则
* redirect 返回302临时重定向 地址栏会显示跳转后的地址
* permanent 返回301永久重定向 地址栏会显示跳转后的地址
一些可用的全局变量有,可以用做条件判断(待补全) (全文…)
标签Tags:
301,
access,
cookie,
css,
domain,
html,
ie,
include,
js,
PHP,
seo,
server,
sql,
swf,
web,
判断,
图片,
密码,
服务器构建&安全,
正则表达式,
浏览器,
网站,
自定义,
表,
重定向,
链接,
错误,
页面
相关日志
服务器构建&安全
2010年05月23日
by 江小邪
98 Views
0 comments
规则1,减少HTTP请求
这是最重要的原则,如果14条规则里只能选一条,那就是它了。可以通过多种方法减少HTTP请求,例如合并图片,合并JS和CSS等等。这一点薄荷网有很多改进的余地,首先应该把现在的JS合并了。
规则2,使用内容发布网络
内容发布网络就是CDN了,但是CDN似乎挺贵的,目前还不适合薄荷网,不过可以考虑自己弄一个网通的静态资源服务器解决有中国特色的可恶的南北互通问题。
规则3,添加Expires头
这个没什么好说的,是个建网站的人都应该知道。目前薄荷网图片,css,js,flash过期时间设置了3年,可以说是永久了,:) Expires有个麻烦的地方是内容更新问题,Ruby on Rails这方面处理的非常棒,它是在文件名后面自动带了
资源文件的timestamp,完美解决。 (全文…)
标签Tags:
ajax,
css,
flash,
javascript,
js,
server,
url,
web,
中国特色,
人,
图片,
方法,
更新,
服务器构建&安全,
浏览器,
组件,
网站,
表,
解决,
设计,
重定向,
页面
相关日志
服务器构建&安全
2010年05月16日
by 江小邪
206 Views
0 comments
这里是关于页面,是一个 WordPress 页面范例。您可以编辑本页面,写上您和网站的基本信息以便读者能了解您。您可以创建任意多的页面和子页面,WordPress 会帮你管理这些内容。
标签Tags:
网站,
页面
相关日志
未分类