位置: 编程技术 - 正文

记一次成功的sql注入入侵检测附带sql性能优化(记一次成功的喜悦作文)

编辑:rootadmin
但是如果是让你接手一个二等残废的网站,并让你在上面改版,而且不能推翻式改版,只能逐步替换旧的程序,那么你会非常痛苦,例如我遇到的问题: 问题1. 老板对你说,以前刚做完网站好好了,没有出现木马,怎么你来了,就会出现木马,先别说了,赶紧解决问题,我彻底无语,但是如果争吵,其实证明你和老板一样无知,拿出证据和事实分析来让公司其他稍微懂技术的一起来证明,公司网站被挂马不是你来了的错。 如是我通过网站目录仔细排查将通过fck上传的网马删除并修补fck的上传漏洞并记下了这篇 Fckeditor使用笔记 ,其实很多人都遇到过,也解决过,都是小问题,但是让你老板明白比解决漏洞问题更蛋疼,我那解释的叫一个汗啊,恨不得把公司所有稍微懂点技术的都叫上让他们看什么是大马什么是小马,然后演示怎么上传木马,奶奶的,黑客教程普及啊。 问题2. 网站又出现问题,上次的问题解决了不过两个月,网站又被入侵挂马,如是老板这次再说因为我来了才出问题,立马走人,这就是为什么不能更不懂技术的人硬碰硬,更不能和你的老板来说,说了你又不懂。 但是要命的是网站是以前的技术开发的二等残废,在别个的cms上修改的,我必须保证网站在的开发的同时旧的模块还可以使用,通过逐步更新的方法将网站底层翻新,但是那么多页面,你很难一个一个去检测那个页面有漏洞,如是写出下面的检测代码,没想到这么简单的就搞定了,并且可以通过此方法优化你的sql。 第一步建立一个sql日志表 记录sql语句、此sql语句被执行次数,参数及值,记录开始时间,结束时间,来自哪个页面,ip和此条语句执行时间(暂时没用) 第二步在sqlhelper里写记录代码 两个方法本来可以写成private的,但是此二等残废的网站其他地方用的别的sqlhelper类,就直接调用此处通过合理优化的sqlhelper类的方法了。 代码1:插入日志 代码2:判断此条sql是否存在 第三部在你的每个执行sql语句的方法里加入以下代码,不管是ExecuteScalar、ExecuteReader还是ExecuteNonQuery等等都加上 代码示例:

然后你会发现入侵的入口被记录下来了,后面方框里的就是构造注入的sql

构造sql如下: +update+my_websetting+set+websitetitle=REPLACE(cast(websitetitle+as+varchar()),cast(char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+char()+as+varchar()),cast(char()+as+varchar(8)))-- 转码后变成这样了:   update my_websetting set websitetitle=REPLACE(cast(websitetitle as varchar()),websitetitle+'</title><script src= 这个就是木马地址,没事你就别点了,好奇害死猫。 小结: 既然知道入口就知道怎么补救了吧,把string类型该过滤的都过滤掉,int类型的就得是int类型,别让数据库替你隐式转。通过此sql日志记录,你应该发现一点那个hit还是有点价值的。 通过select top * from my_sqllog order by hit desc 你会发现你写的那么多sql原来真垃圾,在条件允许的情况下干嘛不把它放到缓存里。所以后来我写的sql基本不在这top 里。 抛砖引玉,望高手批评,以上入侵方法希望刚学习做程序员的同学不要用来欺负小网站,伤不起。 作者:jqbird

推荐整理分享记一次成功的sql注入入侵检测附带sql性能优化(记一次成功的喜悦作文),希望有所帮助,仅作参考,欢迎阅读内容。

记一次成功的sql注入入侵检测附带sql性能优化(记一次成功的喜悦作文)

文章相关热门搜索词:记一次成功的尝试作文600字,记一次成功的经历作文400字,记一次成功的经历和感受,记一次成功的尝试作文450字,记一次成功的尝试作文600字,记一次成功的相亲 馒头,记一次成功的尝试作文450字,记一次成功的尝试作文450字,内容如对您有帮助,希望把文章链接给更多的朋友!

sqlserver中在指定数据库的所有表的所有列中搜索给定的值 比如:我们导入了某个客户的资料,我们知道此客户的姓名是ZhangShan,我们想知道,在我们的业务数据库(eg:NorthWind)中,有哪些数据表的哪些字段设置了

mssql server 数据库附加不上解决办法分享 错误,从网上找了一些解决方案,一般都是说文件的权限不足的问题,当然附加的时候必须是有数据库附加权限才可以操作的。解决办法1:给相应

在数据库‘master’中拒绝CREATE DATABASE权限问题的解决方法 publicpartialclassCMS_DBDataContext{partialvoidOnCreated(){//如果数据库不存在则创建数据库if(!this.DatabaseExists()){this.CreateDatabase();}}}遇到了以下错误:在数据库‘master

标签: 记一次成功的喜悦作文

本文链接地址:https://www.jiuchutong.com/biancheng/348852.html 转载请保留说明!

上一篇:根据表名和索引获取需要的列名的存储过程(根据索引名称查字段)

下一篇:sqlserver中在指定数据库的所有表的所有列中搜索给定的值(在sql server)

  • 社保由税务局征收
  • 考税务师的报考条件
  • 劳保用品销售
  • 小规模纳税人所得税怎么征收
  • 代缴职工社保手续怎么办
  • 交易性金融资产和其他权益工具投资的区别
  • 农民工工资专户管理暂行办法
  • 小规模纳税人可以开1%的专票吗
  • 接受劳务是进项还是销项
  • 月末 存款
  • 财务软件计提所得税分录
  • 工商年报的应交税费包含哪些
  • 临时员工和正式员工区别
  • 过期未认证的进项税如何记账
  • 收到国债本金和利息会计分录
  • 微信红包税前扣除
  • 可以通过哪些渠道获得就业信息
  • 食堂非税收入怎么申报
  • 新准则 预提费用
  • 如何修改鼠标指示灯颜色
  • 账面价值,账面净值,账面余额
  • 2020最新win10密钥
  • 国产linux系统有哪些
  • window10切换win7
  • 对数据文件操作,进行数据记录的交换都要经过
  • 股东分红缴纳个税时间
  • 主营业务收入会计分录例题
  • linux-base
  • 处置抵债资产的增值税计入
  • 企业负担的社保怎么做分录
  • 广告宣传费的税收筹划
  • 注册资本和投资总额的关系
  • 增值税发票已认证抵扣还可以进项税额转出吗
  • 销售商品怎么做好宣传
  • 担保贷款借款人征信不好有影响吗
  • 长期借款主要包括哪些
  • 筹建期的费用计入什么科目
  • c语言中asin
  • 织梦自定义模型调用
  • 对公账户怎么查询开户行
  • 税控盘每年的服务费可以全额抵扣吗
  • 小微企业增值税减免政策
  • 固定资产减少如何处理
  • 银行存款属于其他收益吗
  • 收到返款计入什么科目
  • 增值税发票系统客服电话
  • 管理费用 暂估入账
  • 以前年度损益调整怎么结转
  • 进项税额不允许抵扣
  • 城投公司政府购买服务
  • 商贸公司批发零食怎么样
  • 年度所得税费用
  • 受疫情影响较大的上市公司
  • 外聘人员差旅费用无票调增
  • 出口转内销增值税报表怎么填
  • 事业单位服务收费标准
  • 固定资产盘点基本情况
  • 基于Sql Server通用分页存储过程的解决方法
  • docker mysql 数据
  • 安装sql2000sp4提示挂起
  • win10怎么进u盘系统
  • telnet root
  • win7宽带自动拨号设置
  • 0x80070718配额不足
  • 远程控制安全
  • linux系统文件在哪个目录
  • shell 批量执行命令
  • input lead
  • python数据结构教程
  • Windows10下安装fastdfs
  • 耳机插头怎么拔
  • unity2d角色换装
  • bootstrap基础教程
  • 安卓多点触屏在哪里设置
  • 股权转让是实缴资本吗
  • 查询完毕
  • 陕西国家电子税务局2.0
  • 如何推进税务系统建设
  • 长春市国资局
  • 税务登记制度是对纳税人识别的完善
  • 免责声明:网站部分图片文字素材来源于网络,如有侵权,请及时告知,我们会第一时间删除,谢谢! 邮箱:opceo@qq.com

    鄂ICP备2023003026号

    网站地图: 企业信息 工商信息 财税知识 网络常识 编程技术

    友情链接: 武汉网站建设