位置: 编程技术 - 正文

记一次成功的sql注入入侵检测附带sql性能优化(记一次成功的喜悦作文)

编辑:rootadmin
但是如果是让你接手一个二等残废的网站,并让你在上面改版,而且不能推翻式改版,只能逐步替换旧的程序,那么你会非常痛苦,例如我遇到的问题: 问题1. 老板对你说,以前刚做完网站好好了,没有出现木马,怎么你来了,就会出现木马,先别说了,赶紧解决问题,我彻底无语,但是如果争吵,其实证明你和老板一样无知,拿出证据和事实分析来让公司其他稍微懂技术的一起来证明,公司网站被挂马不是你来了的错。 如是我通过网站目录仔细排查将通过fck上传的网马删除并修补fck的上传漏洞并记下了这篇 Fckeditor使用笔记 ,其实很多人都遇到过,也解决过,都是小问题,但是让你老板明白比解决漏洞问题更蛋疼,我那解释的叫一个汗啊,恨不得把公司所有稍微懂点技术的都叫上让他们看什么是大马什么是小马,然后演示怎么上传木马,奶奶的,黑客教程普及啊。 问题2. 网站又出现问题,上次的问题解决了不过两个月,网站又被入侵挂马,如是老板这次再说因为我来了才出问题,立马走人,这就是为什么不能更不懂技术的人硬碰硬,更不能和你的老板来说,说了你又不懂。 但是要命的是网站是以前的技术开发的二等残废,在别个的cms上修改的,我必须保证网站在的开发的同时旧的模块还可以使用,通过逐步更新的方法将网站底层翻新,但是那么多页面,你很难一个一个去检测那个页面有漏洞,如是写出下面的检测代码,没想到这么简单的就搞定了,并且可以通过此方法优化你的sql。 第一步建立一个sql日志表 记录sql语句、此sql语句被执行次数,参数及值,记录开始时间,结束时间,来自哪个页面,ip和此条语句执行时间(暂时没用) 第二步在sqlhelper里写记录代码 两个方法本来可以写成private的,但是此二等残废的网站其他地方用的别的sqlhelper类,就直接调用此处通过合理优化的sqlhelper类的方法了。 代码1:插入日志 代码2:判断此条sql是否存在 第三部在你的每个执行sql语句的方法里加入以下代码,不管是ExecuteScalar、ExecuteReader还是ExecuteNonQuery等等都加上 代码示例:

然后你会发现入侵的入口被记录下来了,后面方框里的就是构造注入的sql

构造sql如下: +update+my_websetting+set+websitetitle=REPLACE(cast(websitetitle+as+varchar()),cast(char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+as+varchar()),cast(char()+as+varchar(8)))-- 转码后变成这样了:   update my_websetting set websitetitle=REPLACE(cast(websitetitle as varchar()),websitetitle+'</title><script src= 这个就是木马地址,没事你就别点了,好奇害死猫。 小结: 既然知道入口就知道怎么补救了吧,把string类型该过滤的都过滤掉,int类型的就得是int类型,别让数据库替你隐式转。通过此sql日志记录,你应该发现一点那个hit还是有点价值的。 通过select top * from my_sqllog order by hit desc 你会发现你写的那么多sql原来真垃圾,在条件允许的情况下干嘛不把它放到缓存里。所以后来我写的sql基本不在这top 里。 抛砖引玉,望高手批评,以上入侵方法希望刚学习做程序员的同学不要用来欺负小网站,伤不起。 作者:jqbird

推荐整理分享记一次成功的sql注入入侵检测附带sql性能优化(记一次成功的喜悦作文),希望有所帮助,仅作参考,欢迎阅读内容。

记一次成功的sql注入入侵检测附带sql性能优化(记一次成功的喜悦作文)

文章相关热门搜索词:记一次成功的尝试作文600字,记一次成功的经历作文400字,记一次成功的经历和感受,记一次成功的尝试作文450字,记一次成功的尝试作文600字,记一次成功的相亲 馒头,记一次成功的尝试作文450字,记一次成功的尝试作文450字,内容如对您有帮助,希望把文章链接给更多的朋友!

sqlserver中在指定数据库的所有表的所有列中搜索给定的值 比如:我们导入了某个客户的资料,我们知道此客户的姓名是ZhangShan,我们想知道,在我们的业务数据库(eg:NorthWind)中,有哪些数据表的哪些字段设置了

mssql server 数据库附加不上解决办法分享 错误,从网上找了一些解决方案,一般都是说文件的权限不足的问题,当然附加的时候必须是有数据库附加权限才可以操作的。解决办法1:给相应

在数据库‘master’中拒绝CREATE DATABASE权限问题的解决方法 publicpartialclassCMS_DBDataContext{partialvoidOnCreated(){//如果数据库不存在则创建数据库if(!this.DatabaseExists()){this.CreateDatabase();}}}遇到了以下错误:在数据库‘master

标签: 记一次成功的喜悦作文

本文链接地址:https://www.jiuchutong.com/biancheng/348852.html 转载请保留说明!

上一篇:根据表名和索引获取需要的列名的存储过程(根据索引名称查字段)

下一篇:sqlserver中在指定数据库的所有表的所有列中搜索给定的值(在sql server)

  • 增值税核算办法
  • 船舶吨税范围
  • 消费税可以在企业抵扣吗
  • 上个季度财务报表已申报,可以更正吗
  • 人工费怎么入账
  • 2019未达起征点免税分录
  • 13%税开成了3%怎么报税
  • 收到保险公司开票怎么做账
  • 车购税申报表如何作废重开
  • 建筑公司成本发票不够
  • 记载资金的账簿要交印花税吗
  • 固定资产计提折
  • 买酒 专票
  • 地方教育费附加减免政策
  • 房产税的征收对象有哪些
  • 在产品的成本
  • 金融企业呆账准备金是否允许补提
  • 这个月发票没用怎么做账
  • 小规模纳税人教育费附加和地方教育费附加减免
  • 私募股权基金税收主要涉及的是什么税收问题
  • 进项税额加计扣除分录
  • 个人出租车辆给公司个人所得税
  • 票据贴现公司需要资质吗
  • 如何更改中英文切换
  • 财务都干些什么
  • Win10怎么清除系统
  • 重装win10系统怎么跳过创建用户名
  • windows为什么从7开始
  • (Select)解决:Element-ui 中 Select 选择器下拉框样式及输入框样式的修改问题(背景色透明与悬停背景色变化与下拉框边距变化等操作)
  • 苹果14pro真实图片发朋圈
  • php实验二
  • 切换到多任务界面
  • 无法访问或访问被拒绝是怎么解决
  • 详解php实现执行任务
  • 篱笆的样子
  • 购入固定资产款项已付
  • 小规模纳税人进项票可以抵扣吗
  • 会计科目结构什么意思
  • 学摄影要交学费吗
  • yolov3数据集格式
  • 红字发票进项转出当期
  • 旅客运输进项抵扣税率
  • 微软 gcr
  • 文件上传漏洞原因
  • PyTorch深度学习实战 | 基于ResNet的人脸关键点检测
  • 房屋租赁公司装修要求
  • 小规模收到成本发票分录
  • 融资租赁确认的具体条件
  • 根据《中华人民共和国食品安全法》
  • 税务登记程序有哪些
  • 二手车经销管理办法
  • 车保险名称
  • 什么叫挂往来
  • 车辆维修费会计分录
  • 年资产总额增长怎么算
  • 扇贝的储存方式
  • 前期物业管理阶段的工作有哪些
  • 公司的钱转入余额账户
  • 所得税费用结转分录
  • 企业盘亏的设备会计分录
  • 应缴纳房产税的房产
  • 个体工商户个人经营所得税税率表
  • 外商投资企业和外商独资企业
  • 服务器维护和计划的区别
  • iptables配置文件详解
  • piped.exe
  • 进程crash是什么意思
  • dyservice.exe是什么
  • 菜鸟教程官网app
  • win8.1安装更新卡住
  • win10安装完后有多大
  • 关于js的描述错误的是
  • javascript definitive guide
  • javascript中有哪些数据类型
  • jquery validator
  • js操作属性的方法
  • android view view
  • 上海个人到税务局怎么开票
  • 按照5%的征收率减按1.5%
  • 庐山坐缆车上去后还要买门票吗?
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设