2010年07月28日
by 江小邪
75 Views
0 comments
最近我的网站经常把js脚本注入到数据,清除了又来。先后在网上找了很多的方法,还是没有用的,十分恼火。
首先先告诉大家一个批量清除代码的sql语句。
update 表名 set 字段=replace(字段,’script src=http://3b3.org/c.js>
1、分析那些无聊的人,或者有些病态的人究竟做了些什么 。
通过iis的日志或者microsoft urlscan 日志查看,在一些通过id查询数据库内容的时候后面被人加了一段很长的字符窜。
%%3B%%44%%65%%43%%4C%%61%%52%%45%%类似这样的字符窜,一定是其他的方式编码
首先我们先用工具分析下如此之长的字符窜究竟包含了些什么内容。
通过批量替换工具把%%全部替换成空,然后把得到的字符串通过其他的转码工具,转成字符窜。
;DeCLaRE @S NvArCHaR(4000);SeT @S=CaSt(0×45这里代码去掉了06F007200 aS NvArChAR(4000));ExEc(@S);–
就是一段与通过id查询数据库同时执行的sql,就给数据库某些表的字段加入了js病毒连接。
2、所以我们的原来的防sql注入的字符串就需要升级了。
如果过滤16进制
; 对应 3B
DeCLaRE 对应 4465434C615245
@ 对应 40
NvArCHaR 对应 4E76417243486152
set 对应 536554
CaSt 对应 43615374
as 对应 6153
exec 对应 45784563
- 对应 2D
把16进制的代码用|隔开放到injdata 里面
injdata = “3B|2D|’|;|and|exec|insert|select|delete%20from|update|count|”
然后自己测试下,程序是否拦击了这些16进制的代码,本人测试过是可以拦击的,如果不加入这些是不拦击的
照样可以注入到数据库。
标签Tags:
ASP,
js,
sql,
url,
人,
代码,
工具,
数据,
数据库,
方法,
服务器构建&安全,
程序,
类,
网站,
诫,
连接,
防注入
相关日志
服务器构建&安全
2010年07月28日
by 江小邪
77 Views
0 comments
一个用户的网站被挂马 很多以prn.开头的文件…这个文件其实是windows禁止建立的..但是可以在dos建立
所以在dos下用更改属性 结果不让改
然后想恢复权限 不让恢复 ,网站的跟目录被加了几个文件,怎么删也删不掉,
prn.gupiao.asp
prn.liuhe.asp
com1.shouji.asp
或是COM2,COM8等文件主,
第一步:打开工具>文件夹选项>查看>有一项为”隐藏受保护的操作系统文件(推荐)”,去掉其前边的钩,选中”显示所有文件和文件夹”
第二步:建立一个del.bat的文件 把以下代码黏贴进去…
DEL /F /A /Q \\?\%1
RD /S /Q \\?\%1
然后要删那个文件就把那个文件拖进去即可….
但是又遇到问题了…有一个顽固的…PRN.asp;.jpg 拖进去也删不掉….
不过没问题 这个也可以删…先把这个文件的文件夹里的其他的文件备份…
然后把文件夹拖过去…^_^ 删了吧…
然后把备份的文件 拷回去 ok了
标签Tags:
ASP,
代码,
属性,
工具,
操作系统,
服务器构建&安全,
系统,
网站,
隐藏
相关日志
服务器构建&安全
2010年07月26日
by 江小邪
43 Views
0 comments
Ajax控件和类库现在真的太多了,不知不觉中增加了Ajax的神秘性和复杂性,看到版内很多人为此费解和伤神,决定发此贴谈谈本人对Ajax的观点,希望能让大家对Ajax有一个本质的认识。
观点一:Ajax和服务器端技术毫不相关
严格的说,与传统web开发相比,Ajax是完完全全的客户端技术。由于很多控件封装了客户端和服务器端的通信过程,因此很多问题也因通信而起。事实上,不论何种Ajax技术,服务器端都是返回的一个纯文本流,再由客户端来处理这个文本。这段文本可以是xml格式,也可以是一个Html片段,也可以是一段JavaScript脚本,或者仅是一个字符串。服务器端仅仅是作为一个数据接口,客户端使用XMLHttpRequest对象来请求这个页面,服务器端在页面内写入结果文本,这个过程和普通的web开发没有任何区别。所不同的只是,客户端在异步获取结果后,不是直接显示在页面,而是由客户端的Javascript脚本处理后再显示在页面。至于各种控件所谓的能返回DataSet对象,Date对象,或者其他的数据类型,都是封装了这个处理过程的结果。
观点二:DOM模型是Ajax最本质的技术
之所以没有把XMLHttpRequest列为最本质的技术,因为本人觉得它实在是太简单了,它只是可以让浏览器在后台请求一个页面,并将其内容交给JavaScript处理。真正的核心应该是:DOM模型,即文档对象模型。在DOM模型里,Html标记都被认为是一个对象,例如:div对象,table对象等等。DOM模型就规定了这些对象所具有的属性、方法和事件。通过这些性质,可以对一个已经显示于浏览器的页面进行内容的修改,例如增加节点、修改节点位置,删除节点等等。而不仅仅是一个innerHTML属性这么简单,虽然这是一个很有用的属性。
观点三:在使用Ajax控件前理解它们的实现
使用Ajax控件的确可以提高效率,但如果你空中楼阁般使用控件,那就得不偿失了。从一个控件换到另外一个控件又会有一个漫长的学习曲线。所以应该从底层了解其,况且Ajax实在不是什么高深的技术。其实任何东西的最底层其实都是简单的,但如果封装了这些底层的东西,事情会变得复杂和难以理解。以Asp.net为例,它的定制特性可以使得只要在方法前加上[ajax method]类似这样的标志就可以称为一个异步方法,相信这使得Asp.net的Ajax开发显得更加“高效”或者是“神秘”,而更多的事情则被封装了。同样记住一条,任何对服务器端的请求仅仅是返回纯文本,我们不一定要依赖于封装好的处理过程,而完全可以自己来实现。
观点四:学好JavaScript
在大多数人看来,JavaScript总不是那么一种正规的语言,随便copy一段就碰巧能运行,学过c之类的人,一看也能看懂,而且在浏览器中常常有脚本错误提示,所以潜意识觉得总不能付之以大任。事实上,要学好Ajax,这就完全是一种错误的看法。javascript作为一种脚本语言,其语法的确不是很严格,但并不妨碍其完成诸多复杂的任务,没有JavaScript,就没有Ajax。所以本人强烈建议,学Ajax前,一定要好好研究一番JavaScript,一般来讲,如果能顺利看懂prototype框架的代码(如:prototype-1.3.1.js),你的JavaScript水平就基本过关了。同时对DOM模型也可以算有一个基本的了解。
观点五:Ajax点缀:CSS
用JavaScript控制CSS其实很简单,基本上每个DOM对象都有一个style对象,只要把css属性里的”-”去掉,并让随后的字母变为大写就可以作为属性使用了,例如:element.style.backgroundColor=”#f00″;在css是:选择符 {background-color:#f00}
一口气说这么多,希望对大家有点用处。
标签Tags:
ajax,
ASP,
asp.net,
css,
div,
html,
javascript,
JavaScript&Ajax,
js,
web,
xml,
xmlhttp,
人,
代码,
区别,
对象,
属性,
接口,
数据,
方法,
浏览器,
类,
网络编程,
节点,
获取,
错误,
页面
相关日志
JavaScript&Ajax, 网络编程
2010年07月26日
by 江小邪
36 Views
0 comments
Get方式:
作用:可传送简单数据
大小:url最大长度是2083 bytes,可以用于GET传递数据的长度是2048 bytes
包含体:数据追加到url中发送,也就是http的header传送
Post方式:
作用:可传送简单复杂数据
大小:web.config里限制
包含体:数据在http请求的实体内容里传送
(全文…)
标签Tags:
ajax,
ASP,
asp.net,
code,
javascript,
JavaScript&Ajax,
status,
url,
web,
xml,
xmlhttp,
对象,
数据,
方法,
网络编程
相关日志
JavaScript&Ajax, 网络编程
2010年05月23日
by 江小邪
197 Views
0 comments
user-agent 收集:
http://www.developershome.com/wap/detection/detection.asp?page=userAgentHeader
http://search.cpan.org/~cmanley/Mobile-UserAgent-1.05/lib/Mobile/UserAgent.pm
http://www.zytrax.com/tech/web/mobile_ids.html
http://en.wikipedia.org/wiki/List_of_user_agents_for_mobile_phones
nginx
location = / {
root /var/www/path;
if ($http_user_agent ~* “Nokia”) { rewrite . /index.html break; }
if ($http_user_agent ~* “Mobile”) { rewrite . /index.html break; }
if ($http_user_agent ~* “SAMSUNG”) { rewrite . /index.html break; } }
if ($http_user_agent ~* “SonyEricsson”) { rewrite . /index.html break; }
if ($http_user_agent ~* “MOT”) { rewrite . /index.html break; } }
if ($http_user_agent ~* “BlackBerry”) { rewrite . /index.html break; }
if ($http_user_agent ~* “LG”) { rewrite . /index.html break; } }
if ($http_user_agent ~* “HTC”) { rewrite . /index.html break; }
if ($http_user_agent ~* “J2ME”) { rewrite . /index.html break; }
if ($http_user_agent ~* “Opera Mini”) { rewrite . /index.html break; } }
index index.html;
}
标签Tags:
ASP,
css,
html,
path,
wap,
web,
判断,
网站建设
相关日志
网站建设
2007年12月29日
by 江小邪
1,208 Views
0 comments
现在基于WEB页的HTML的编辑器在新闻系统,文章系统中用得越来越广,一个网页一粘就可以保持原来的样式,同时图片也可以在这个页中保持。但是在使用过程中,如果所粘贴页中的图片被删除,就会在自己的页面上留下一个大大的“X”,影响美观。以前只好把这个图片保存下来,再重新上传到服务器上,这样实在麻烦。能不能让服务器自动去下载图片保存在服务器并且替换页面上的链接?答案是肯定的。 (全文…)
标签Tags:
ASP,
ASP,
xmlhttp,
图片地址,
正则解析,
组件
相关日志
ASP
2007年12月29日
by 江小邪
1,260 Views
0 comments
ASP
2007年12月29日
by 江小邪
1,200 Views
0 comments
(全文…)
标签Tags:
ASP,
ASP,
初学者,
错误
相关日志
ASP
2007年12月29日
by 江小邪
1,233 Views
0 comments
该段代码涉及到JMail v4.3的大部分常用方法。
包括邮件基本信息、身份验证、附件等。无需很多的修改就可以使用,也可以改成函数或过程。 (全文…)
标签Tags:
ASP,
ASP,
jmail,
代码
相关日志
ASP
2007年12月29日
by 江小邪
1,585 Views
0 comments
今天我给大家讲一下如何提高ASP提速技巧的五则方法希望能对大家有所帮助!
技巧之一:提高使用Request集合的效率
访问一个ASP集合来提取一个值是费时的、占用计算资源的过程。因为这个操作包含了一系列对相关集合的搜索,这比访问一个局部变量要慢得多。因此,如果打算在页面中多次使用Request集合中的一个值,应该考虑将其存贮为一个局部变量。例如将代码写成下面的形式以加快脚本引擎处理速度:
strTitle=Request.Form(“Title”)
strFirstName=Request.Form(“FirstName”)
strLastName=Request.Form(“LastName”)
If Len(strTitle) Then strTitle=strTitle & ” “
If strFirstName=”" Then strFullName=strTitle & ” ” & strLastName
Elseif Len(strFirstName)=1 Then
strFullName=strTitle & strFirstName & “. ” & strLastName
Else
strFullName=strTitle & strFirstName & ” ” & strLastName
End If
(全文…)
标签Tags:
ASP,
ASP,
技巧,
提速
相关日志
ASP