http://www.xxxx.net/CompHonorBig.asp?id=xx下面我们找到我们注入漏洞的文件,在文件的顶部加上我们的防注入代码 CompHonorBig.asp这个文件里
----------------------------------代码如下------------------------------------------------
<%
'Dim
yisenceinje_Post,yisenceinje_Get,yisenceinje_In,yisenceinje_Inf,yisenceinje_Xh,yisenceinje_db,yisenceinje_dbstr
'您可以在yisenceinje_In中新增要过滤的参数,用#号隔开
yisenceinje_In =
''#;#and#exec#insert#select#delete#update#count#chr#mid#master#truncate#char#declare'
yisenceinje_Inf = split(yisenceinje_In,'#')
'判断post参数
If Request.Form<>'' Then
StopInjection(Request.Form)
'判断get参数
If Request.QueryString<>'' Then
StopInjection(Request.QueryString)
'判断cookies参数
If Request.Cookies<>'' Then
StopInjection(Request.Cookies)
Function StopInjection(values)
For Each yisenceinje_Get In values
For yisenceinje_Xh=0 To Ubound(yisenceinje_Inf)
If
Instr(LCase(values(yisenceinje_Get)),yisenceinje_Inf(yisenceinje_Xh))<>0
Then
Response.Write '<Script
Language=JavaScript>alert('中搜科技提示你:\n\n请不要在参数中包含非法字符。');</Script>'
Response.Write
'非法操作!系统已经记录下来你的当前操作:<br>'
Response.Write
'操作IP:'&Request.ServerVariables('REMOTE_ADDR')&'<br>'
Response.Write
'操作时间:'&Now&'<br>'
Response.Write
'操作页面:'&Request.ServerVariables('URL')&'<br>'
Response.Write
'提交数据:'&values(yisenceinje_Get)
Response.End
End If
Next
Next
End Function
%>
---------------------------------------代码如上-------------------------------------------------
这个只是单个文件的防注入 多防注入的方法是:我们可以看一下代码 看他调用了那个文件
比如这个注入点的文件调用了INC文件夹下的CONN.ASP
那么我们直接把代码加在CONN.ASP的文件夹顶部就可以了,本防注入代码不是万能的,如发现影响文件调用请勿使用此代码。
青春就应该这样绽放 游戏测试:三国时期谁是你最好的兄弟!! 你不得不信的星座秘密
