網頁指令碼攻擊防範全攻略一

網頁指令碼攻擊防範全攻略(一)

近來，網路上的sql injection 漏洞利用攻擊，js指令碼，html指令碼攻擊似乎逾演逾烈。陸續的很多站點都被此類攻擊所困擾，並非像主機漏洞那樣可以當即修復，來自於web的攻擊方式使我們在防範或者是修復上都帶來了很大的不便。hooo…… 乙個站長最大的痛苦莫過於此。自己的密碼如何如何強壯卻始終被攻擊者得到，但如何才能做到真正意義上的安全呢？第一，別把密碼和你的生活聯絡起來；第二，supermaster的pwd最好只有你自己知道；第三，絕對要完善好你的**程式。然而怎樣才能完善，這將是我們此文的最終目的。

1. 簡單的指令碼攻擊

此類攻擊應該屬於無聊搗亂吧。比如****:alert(); ＜/table＞等等，由於程式上過濾的不嚴密，使攻擊者既得不到什麼可用的，但又使的他可以進行搗亂的目的。以目前很多站點的免費服務，或者是自身站點的程式上也是有過濾不嚴密的問題。

2. 危險的指令碼攻擊

這類指令碼攻擊已經過度到可以竊取管理員或者是其他使用者資訊的程度上了。比如大家都知道的cookies竊取，利用指令碼對客戶端進行本地的寫操作等等。

3. sql injection 漏洞攻擊

可以說，這個攻擊方式是從動網論壇和bbsxp開始的。利用sql特殊字元過濾的不嚴密，而對資料庫進行跨表查詢的攻擊。比如：

得到了管理員的密碼也就意味著已經控制的整站，雖然不一定能得到主機的許可權，但也為這一步做了很大的鋪墊。類似的sql injection攻擊的方式方法很多，對不同的檔案過濾不嚴密所採取的查詢方式也不同。所以說想做好乙個完整的字元過濾程式不下一凡功夫是不可能的。

4. 遠端注入攻擊

某站點的所謂的過濾只是在提交**頁上進行簡單的js過濾。對於一般的使用者來說，你大可不必防範；對早有預謀的攻擊者來說，這樣的過濾似乎根本沒作用。我們常說的post攻擊就是其中一例。通過遠端提交非法的資訊以達到攻擊目的。

通過上面的攻擊方法的介紹，我們大致的了解了攻擊者的攻擊途徑，下面我們就開始重點的介紹，如何有效的防範指令碼攻擊！

讓我們還是從最簡單的開始：

l 防範指令碼攻擊

js指令碼和html指令碼攻擊的防範其實很簡單：server.htmlencode（str）完事。當然你還不要大叫，怎麼可能？你讓我把全站類似＜%=uid%＞都加過濾我還不累死？為了方便的過濾，我們只需要將html指令碼和js指令碼中的幾個關鍵字元過濾掉就可以了：程式體（1）如下：

『以下是過濾函式

function chk(fqystring)

fqystring = replace(fqystring, "＞", "＞")

fqystring = replace(fqystring, "＜", "＜")

fqystring = replace(fqystring, "&#", "&")

fqystring = replace(fqystring, chr(32), " ")

fqystring = replace(fqystring, chr(9), " ")

fqystring = replace(fqystring, chr(34), """)

fqystring = replace(fqystring, chr(39), "'")

fqystring = replace(fqystring, chr(13), "")

fqystring = replace(fqystring, chr(10) & chr(10), "＜/p＞＜p＞ ")

fqystring = replace(fqystring, chr(10), "＜br＞ ")

chk = fqystring

end function

『以下是應用例項

＜%=chk(username)%＞

username=chk(replace(request(「username」),」』」,」」))

使用include把函式寫在公有頁面上，這樣效率是最好的。

網頁指令碼攻擊防範全攻略一

網頁設計求職全攻略

彈出網頁視窗全攻略

網頁彈出視窗製作全攻略！

網頁指令碼攻擊防範全攻略 一

網頁設計求職全攻略

彈出網頁視窗全攻略

網頁彈出視窗製作全攻略！

相關推薦

網頁指令碼攻擊防範全攻略一