上傳圖片攻擊

⑴ asp.net做圖片上傳如何防注入攻擊

訪問了Request.Form 變數之後，數據就 全部載入完了， 不能調用 BinaryRead 沒有意義。檢查一下代碼，是否在BinaryRead函數調用之前又 寫了訪問Request 的語句

可是試試這種做法：

你可以把注入寫成一個函數來調用，如果需要注入就調用函數,我一般都是這樣調用的。
例如：需要防注入的參數：
<%
aa=request("aa")
safe(aa)
%>
下面safe函數供你參考：
function Safe(str)
dim sql_Chk_Post,sql_Chk_Get,sql_Chk_In,sql_Chk_Inf,sql_Chk_Xh,sql_Chk_db,sql_Chk_dbstr,sql_Chk_Err
sql_Chk_Err = false
sql_Chk_In = "'|;|exec|insert|select|from|delete|drop|table|db_name|update|count|*|%|chr|mid|master|truncate|char|declare"
sql_Chk_Inf = split(sql_Chk_In,"|")
sql_Chk_Post=str
sql_Chk_Get=str
'--------POST部份------------------
If Request.Form <>"" Then
For Each sql_Chk_Post In Request.Form
For sql_Chk_Xh=0 To Ubound(sql_Chk_Inf)
If Instr(LCase(Request.Form(sql_Chk_Post)),sql_Chk_Inf(sql_Chk_Xh)) <>0 Then
sql_Chk_Err = true
alertError(sql_Chk_Post)
End If
Next
Next
Safe=sql_Chk_Err
End If
'--------GET部份-------------------
If Request.QueryString <>"" Then
For Each sql_Chk_Get In Request.QueryString
For sql_Chk_Xh=0 To Ubound(sql_Chk_Inf)
If Instr(LCase(Request.QueryString(sql_Chk_Get)),sql_Chk_Inf(sql_Chk_Xh)) <>0 Then
sql_Chk_Err = true
alertError(sql_Chk_Get)
End If
Next
Next
End If
'-------------------------------------
end function

'----------------------------處理非法的信息添加到資料庫------------------------
function alertError(byval sql_Chk_Date)
'---------------------------把非法提交信息寫入資料庫--------------------------
set rs=server.createobject("ADODB.Recordset")
sql="select * from errorinfo order by id desc"
rs.open sql,conn,1,3
rs.addnew
rs("userip")=Request.ServerVariables("REMOTE_ADDR")'獲得攻擊用戶的IP地址
rs("loginDate")=now'攻擊用戶登陸時間
rs("operate_page")=Request.ServerVariables("URL")'攻擊操作的頁面信息
rs("send_var")=sql_Chk_Date'提交參數內容
rs("send_data")=Request(sql_Chk_Date)'提交的數據信息
rs("AddTime")=now
rs.update
rs.close

Response.Write " <Script Language=JavaScript>alert(' 系統提示↓\n\n請不要在參數中包含非法字元！');history.back(); </Script>"
Response.End
'---------------------------記錄完畢------------------------------------------
End function

⑵ 如果有人未經本人同意，把我的照片發去社交網路還人身攻擊，能去法院起訴嗎

可以的，因為沒經過本人同意把你的相片發到網路上，是侵犯你的肖像權，你是可以向法院提起訴訟。

⑶ 如何防止上傳圖片木馬

目前無組件上傳類都存在此類漏洞——即黑客利用「抓包嗅探偽造IP包，突破伺服器端對上傳文件名、路徑的判斷，巧妙上傳ASP、ASA、CGI、CDX、CER、ASPX類型的木馬。

防範方法：刪除後台管理中的恢復/備份資料庫功能。

檢查您的網頁是否有備份數據的功能..或者能把文件重新命名的功能.
數據備份建議使用絕對路徑.

黑客應該是先把網馬shell 改成jpg 然後上傳後.利用備份功能...改為asp.

通用防範上傳漏洞入侵秘笈：將伺服器端的組件改名

將FileSystemObject組件、WScript.Shell組件、Shell.Application組件改名，然後禁用Cmd.exe，就可以預防漏洞上傳攻擊。