上传图片攻击
⑴ asp.net做图片上传如何防注入攻击
访问了Request.Form 变量之后,数据就 全部加载完了, 不能调用 BinaryRead 没有意义。检查一下代码,是否在BinaryRead函数调用之前又 写了访问Request 的语句
可是试试这种做法:
你可以把注入写成一个函数来调用,如果需要注入就调用函数,我一般都是这样调用的。
例如:需要防注入的参数:
<%
aa=request("aa")
safe(aa)
%>
下面safe函数供你参考:
function Safe(str)
dim sql_Chk_Post,sql_Chk_Get,sql_Chk_In,sql_Chk_Inf,sql_Chk_Xh,sql_Chk_db,sql_Chk_dbstr,sql_Chk_Err
sql_Chk_Err = false
sql_Chk_In = "'|;|exec|insert|select|from|delete|drop|table|db_name|update|count|*|%|chr|mid|master|truncate|char|declare"
sql_Chk_Inf = split(sql_Chk_In,"|")
sql_Chk_Post=str
sql_Chk_Get=str
'--------POST部份------------------
If Request.Form <>"" Then
For Each sql_Chk_Post In Request.Form
For sql_Chk_Xh=0 To Ubound(sql_Chk_Inf)
If Instr(LCase(Request.Form(sql_Chk_Post)),sql_Chk_Inf(sql_Chk_Xh)) <>0 Then
sql_Chk_Err = true
alertError(sql_Chk_Post)
End If
Next
Next
Safe=sql_Chk_Err
End If
'--------GET部份-------------------
If Request.QueryString <>"" Then
For Each sql_Chk_Get In Request.QueryString
For sql_Chk_Xh=0 To Ubound(sql_Chk_Inf)
If Instr(LCase(Request.QueryString(sql_Chk_Get)),sql_Chk_Inf(sql_Chk_Xh)) <>0 Then
sql_Chk_Err = true
alertError(sql_Chk_Get)
End If
Next
Next
End If
'-------------------------------------
end function
'----------------------------处理非法的信息添加到数据库------------------------
function alertError(byval sql_Chk_Date)
'---------------------------把非法提交信息写入数据库--------------------------
set rs=server.createobject("ADODB.Recordset")
sql="select * from errorinfo order by id desc"
rs.open sql,conn,1,3
rs.addnew
rs("userip")=Request.ServerVariables("REMOTE_ADDR")'获得攻击用户的IP地址
rs("loginDate")=now'攻击用户登陆时间
rs("operate_page")=Request.ServerVariables("URL")'攻击操作的页面信息
rs("send_var")=sql_Chk_Date'提交参数内容
rs("send_data")=Request(sql_Chk_Date)'提交的数据信息
rs("AddTime")=now
rs.update
rs.close
Response.Write " <Script Language=JavaScript>alert(' 系统提示↓\n\n请不要在参数中包含非法字符!');history.back(); </Script>"
Response.End
'---------------------------记录完毕------------------------------------------
End function
⑵ 如果有人未经本人同意,把我的照片发去社交网络还人身攻击,能去法院起诉吗
可以的,因为没经过本人同意把你的相片发到网络上,是侵犯你的肖像权,你是可以向法院提起诉讼。
⑶ 如何防止上传图片木马
目前无组件上传类都存在此类漏洞——即黑客利用“抓包嗅探伪造IP包,突破服务器端对上传文件名、路径的判断,巧妙上传ASP、ASA、CGI、CDX、CER、ASPX类型的木马。
防范方法:删除后台管理中的恢复/备份数据库功能。
检查您的网页是否有备份数据的功能..或者能把文件重新命名的功能.
数据备份建议使用绝对路径.
黑客应该是先把网马shell 改成jpg 然后上传后.利用备份功能...改为asp.
通用防范上传漏洞入侵秘笈:将服务器端的组件改名
将FileSystemObject组件、WScript.Shell组件、Shell.Application组件改名,然后禁用Cmd.exe,就可以预防漏洞上传攻击。