我的网站被sql注入 - asp技术学习

2014-05-15 09:25:08
阅读：3816次
回复
只看此人

楼主

声望＋2
积分40
经验4741
文章26
注册2014-05-12

我的网站被sql注入

[P]谁可以帮忙一下了,不懂代码怎么修改[/P][P]<%

'数据库连接文件
On Error Resume Next
response.buffer=true
Const DbType = "ACCESS" 'ACCESS:ACCESS数据库,SQL:为MSSQL数据库
dim SQLServerName,SQLDBUserName,SQLDBPassword,SQLDBName,datatype,conn,DB,ConnStr
SQLServerName = "(Local)" '服务器名称或地址
SQLDBUserName = "sa" '数据库帐号
SQLDBPassword = "123456789" '数据库密码
SQLDBName = "jle" '数据库名称 [/P][P]If DbType="SQL" Then
ConnStr="Provider=sqloledb;user id="&SQLDBUserName&";password="&SQLDBPassword&";initial catalog="&SQLDBName&";data source="&SQLServerName&";"
Else
db="数据库存放地址"
ConnStr = "Provider = Microsoft.Jet.OLEDB.4.0;Data Source = " & Server.MapPath(db)
End If
Set conn = Server.CreateObject("ADODB.Connection")
conn.Open connstr
If Err Then
err.Clear
Set Conn = Nothing
Response.Write "<script Language=javascript>location.href = '对不起，访问量过高，您暂时无法登陆网站,请稍后访问！';</script>"
Response.End
End If
sub closedb()
Set jle_User = Nothing
Set jle_Fso = Nothing
Set jle_Temp = Nothing
If IsObject(Conn) = True Then Conn.Close
Set Conn = Nothing
End Sub
%>[/P][P][/P]

[ 此贴最后由 wwwpqxxwcn 在2014-5-15 9:59:50编辑过 ]

asp技术学习感谢您的参与

suPer

2014-05-15 10:00:09
引用
只看此人

2楼

徽章

职务总版主
声望＋14
积分1530
经验278129
文章2378
注册2003-06-14

校务管理系统

[P]帖出的代码部分不存在此问题[/P][P] [/P][P]sql注入会导致数据库数据泄露并被终被获取后台系统管理权限[/P][P] [/P][P]可以简单的用百度，360，腾讯等站长平台扫描．[/P][P] [/P][P]但sql注入和木马上传问题要对源代码有熟知，只要有一处存在问题，即是全系统甚至全站风险．若存在web shell问题会导致服务器整体安全问题．[/P]

asp技术学习感谢您的参与

wwwpqxxwcn

2014-05-15 10:04:47
引用
只看此人

3楼

声望＋2
积分40
经验4741
文章26
注册2014-05-12

[P]<% dim com,rs,sql,k,i,j,b com=trim(request("m")) jle=request("n")[/P][P]set rs = Server.CreateObject("ADODB.RecordSet") sql="select * from [jle_shop] where username='"&com&"'" rs.open sql,conn,1,3 if rs.bof or rs.eof then response.redirect "/" end if if rs.eof then response.write "<script language=JavaScript>" & chr(13) & "alert('此为快速发布信息！没有相关用户资料！');" & "history.back()" & "</script>" response.end end if if rs("yz")<>1 then response.write "<script language=JavaScript>" & chr(13) & "alert('我们将在２４小时内审核通过您的申请！若超过４８小时没有通过，请检查您的注册信息或联系本站');" & "history.back()" & "</script>" response.end end if if rs("vip")<>"1" then response.redirect "../shop_ohno.asp?m="&com&"" response.end end if rs("tong")=rs("tong")+1 rs.update com=rs("com") comn=rs("username") dianhua=rs("dianhua") plcs=rs("plcs") tong=rs("tong") dim n,rs0 set rs0=server.createobject("adodb.recordset") set rs0=conn.execute("select count(id) from [jle_info] where username='"&com&"'") n=rs0(0) rs0.close '商家模板自动获取 dim rsmb,sqlmb username=request.cookies("jle")("username") set rsmb=server.createobject("adodb.recordset") sqlmb="select * from [jle_shop] where username='"&username&"'" rsmb.open sqlmb,conn,1,1 mb=trim(rsmb("mb")) rsmb.close set rsmb=nothing[/P][P]%> [/P][P] [/P][P]360检测是这样的文件有漏洞[/P]

asp技术学习感谢您的参与

suPer

2014-05-15 10:10:00
引用
只看此人

4楼

徽章

职务总版主
声望＋14
积分1530
经验278129
文章2378
注册2003-06-14

[P]此代码存在明显的sql注入问题，[/P][P]com=trim(request("m")) jle=request("n")[/P][P]等参递的参数需要作过滤处理[/P]

asp技术学习感谢您的参与

wwwpqxxwcn

2014-05-15 10:40:25
引用
只看此人

5楼

声望＋2
积分40
经验4741
文章26
注册2014-05-12

[P]能指点一下吗,不太懂啊[/P][P]我把这些文件上传过去,帮忙改一下吧[/P][P] [/P] [upload=15326,2]SQL被注入.rar[/upload]

[ 此贴最后由 wwwpqxxwcn 在2014-5-15 10:48:18编辑过 ]

asp技术学习感谢您的参与

suPer

2014-05-15 11:04:58
引用
只看此人

6楼

徽章

职务总版主
声望＋14
积分1530
经验278129
文章2378
注册2003-06-14

[P]其实360等检测的很有限，很大地方无法检测．[/P][P]一个存在基本的sql注入问题的系统，一般也肯定存在更具威胁性的上传漏洞，即有可能进一步被获取服务器管理员权员．[/P][P] [/P][P]全站检查，全服务器安全设置才是办法．[/P][P] [/P][P]检查一段代码往往解决不了多少问题．[/P][P] [/P][P]你若要如此，可以简单的对所有的 request请求的参数作过滤，替换掉单引号[/P]

asp技术学习感谢您的参与

Cgh2017

2014-05-15 11:09:53
引用
只看此人

7楼

べ我也喜欢猫べ

徽章

职务区版主
声望＋23
积分8923
经验681568
文章8736
注册2004-08-09

一般都是编辑器上传漏洞引起的！

asp技术学习感谢您的参与

wwwpqxxwcn

2014-05-15 11:29:06
引用
只看此人

8楼

声望＋2
积分40
经验4741
文章26
注册2014-05-12

编辑器是什么？

asp技术学习感谢您的参与

家何处

2014-05-15 13:36:58
引用
只看此人

9楼

人总要长大

徽章

职务论坛版主
声望＋10
积分4293
经验346072
文章4407
注册2004-08-03

[FACE=宋体][SIZE=12px]ld的安全性没有问题，楼主要看看同空间的其他程序[/SIZE][/FACE]

asp技术学习感谢您的参与