首页 日志归档 日志搜索 注册 登陆

发布sql通用防注入3.1最终纪念版20061012

作者:neeao | 2006-10-13 04:40:14 | 原创作品

注:转载请注明来源,谢谢!

sql通用防注入3.1最终纪念版开发完毕,与3.1beta版相比有以下的更新:
  • 对于3.1beta版中由于加入的对于js程序过滤的功能而引起的安全问题做了修正。
  • 对于3.1beta版可能引起的跨站攻击做了修正。
  • 将3.1beta版中的安全表单升级为安全页面,使程序的针对性更强,下面将做演示!
  • 如无大的问题,此版本为最终纪念版,以后本人将不再对此程序做更新!
安全页面功能演示:
功能关闭的效果,遇到危险字符,马上警告!
attachments/200610/10_162138_1.gif
功能打开效果,遇到危险字符,自然输出,此功能慎用,可能引起安全问题的!
attachments/200610/10_162459_2.gif
如发现问题还希望反馈下,我尽快修正
点击下载

上一篇:Ubuntu 6.06正式版下载大全
下一篇:IceSword(冰刃)1.20 beta1

0

访客评论

1 person01发表于2006-10-11 00:48:29
person01@gmail.com
引用   支持(0) 反对(0)  
2 neeao发表于2006-10-11 01:15:33
to:person01,已发送!
引用   支持(0) 反对(0)  
3 kenji发表于2006-10-11 01:28:37
kenji119@163.com
引用   支持(0) 反对(0)  
4 小渝发表于2006-10-11 01:49:30
jainas@msn.com
谢谢
引用   支持(0) 反对(0)  
5 neeao发表于2006-10-11 02:06:42
kenji119@163.com,jainas@msn.com,已发送!希望发现问题给我留言,谢谢!
引用   支持(0) 反对(0)  
6 anyfz发表于2006-10-11 02:06:53
谢谢!请发一份给我.
anyfz@126.com
引用   支持(0) 反对(0)  
7 pkknife发表于2006-10-11 22:26:35
太好了,我也要一份

pkknife@163.com

谢谢了:)
引用   支持(0) 反对(0)  
8 XHTML_CSS发表于2006-10-11 22:47:32
P我一份吧,最近在写程序!~~安全这方面一直不是很了解,借机学习学习!
邮件地址: xhtml_css@126.com
引用   支持(0) 反对(0)  
9 hawk发表于2006-10-12 21:43:42
ncfriend@tom.com
谢谢了
引用   支持(0) 反对(0)  
10 erosiavery发表于2006-10-13 00:31:26
bjjcyh@gmial.com谢谢哦
引用   支持(0) 反对(0)  
11 viking发表于2006-10-16 02:22:42
恭喜师傅的最终版的推出~
引用   支持(0) 反对(0)  
12 jed发表于2006-10-19 17:55:11
cookies时,正常输入,你的程序也会报说什么注入,且存储的这个字段明显不够大,应为备注型
引用   支持(0) 反对(0)  
13 fanting02发表于2006-11-08 17:38:39
[cry] 不行啊
错误类型:
Microsoft VBScript 编译器错误 (0x800A03EA)
语法错误
/jwgl/Neeao_SqlIn.Asp, line 63
Function Stop_IP()
怎么办?
引用   支持(0) 反对(0)  
14 ske发表于2006-11-13 17:30:16
老大,我使用了你的程序,但遇到一个问题,希望你能帮助:我的服务器是win2003的,ntfs分区的,下面挂了四个站点,iis的用户都是guest组,都对windows/temp目录有写权限。这四个站都用了你的防注入程序,对sqlin.mdb也有写权限,但是只有两个站点能够正常使用这个程序,另外两个就始终报“数据库连接出错,请检查连接字串。”,但我检查了路径,权限都是正确的,而且在这两个出错的站点下的其他mdb数据库都能正常连接,这是为什么呢
引用   支持(0) 反对(0)  
15 neeao发表于2006-11-13 20:19:28
引用 ske 说过的话:

老大,我使用了你的程序,但遇到一个问题,希望你能帮助……

应该是你的数据库路径的问题! [razz]
引用   支持(0) 反对(0)  
16 hellosky发表于2006-12-05 17:45:11
高手,用了你得程序后,我的得表单提交都接收不到了是怎么回事?
引用   支持(0) 反对(0)  
17 hellosky发表于2006-12-05 17:48:48
高手,用了你的程序后,我的表单提交都接收不到了是怎么回事?
引用   支持(0) 反对(0)  
18 69crcom发表于2006-12-15 03:37:02
我加了就出现这样的情况

错误类型:
Microsoft VBScript 编译器错误 (0x800A0411)
名称重定义
/69/include/Neeao_SqlIn.Asp, line 2, column 4
dim dbkillSql,killSqlconn,connkillSql
---^

浏览器类型:
Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1)

网页:
GET /69/index.asp
引用   支持(0) 反对(0)  
19 dnvmmm发表于2007-03-02 19:47:12
高手,本人的网站,加上你的防注入代码也是给人在页面里面注入了恶意代码呀.怎么会这样的呢?我的网站是ASP的.有没有一个软件可以测试一下防注是否成功的呢?高手,小弟诚心向你请求加我QQ:199248375帮我解决一下问题..谢谢呀
引用   支持(0) 反对(0)  
20 jacksoner发表于2007-04-10 00:00:53
老大,能不能给我一份最新的,最近在写程序!安全只能靠你了,谢谢!!!
jacksoner@163.com
引用   支持(0) 反对(0)  
21 neeao发表于2007-04-10 00:47:34
引用 jacksoner 说过的话:

老大,能不能给我一份最新的,最近在写程序!安全只能靠你了,谢谢!!!
jacksoner@163.com

最好的过滤就是在引入参数的时候直接过滤,比用通用防注入效率高多了! [wink]
比如:
id
如果是数字的话,直接检查下:
Dim MyVar, MyCheck
MyVar = 53   \'赋值。
MyCheck = IsNumeric(MyVar)   \' 返回 True。
MyVar = \"459.95\"   \' 赋值。
MyCheck = IsNumeric(MyVar)   \' 返回True。
MyVar = \"45 Help\"   \' 赋值。
MyCheck = IsNumeric(MyVar)   \' 返回 False。
如果不是的话:
Dim MyString
MyString = Replace(\"XXpXXPXXp\", \"p\", \"Y\")   \'二进制比较从字符串左端开始。返回 \"XXYXXPXXY\"。
MyString = Replace(\"XXpXXPXXp\", \"p\", \"Y\", \'文本比较从第三个字符开始。返回 \"YXXYXXY\"。3,, -1, 1)
直接替换到一些关键字就ok了!
比如’,char,select,(,)等等了,具体的可以参考下我的通用防注入里的关键字定义!
引用   支持(0) 反对(0)  
22 sky2007发表于2007-04-23 23:26:42
高手,我的网站加了你的sql通用防注入3.1最终纪念版,有一个注册程序我用邮箱“panda@sina.com”注册,程序马上报有非法字符,这是怎么回事?请帮助解答解答,谢谢!
引用   支持(0) 反对(0)  
23 neeao发表于2007-04-24 01:07:10
引用 sky2007 说过的话:

高手,我的网站加了你的sql通用防注入3.1最终纪念版,有一个注册程序我用邮箱“panda@sina.com”注册,程序马上报有非法字符,这是怎么回事?请帮助解答解答,谢谢!

因为你的邮箱名p and a中有and!呵呵,可以后台设置去掉的!
引用   支持(0) 反对(0)  
24 wyc发表于2007-05-24 23:50:22
站长是河南的?豫ICP备05001235号
你的程序很好用,但我是菜鸟,我提个请求:

能不能加入个判断 . 比如:别人输入了5次注入代码后再自动封他的IP?

如果您有时间改了麻烦发给我一份. wyc668[at]163.com
引用   支持(0) 反对(0)  
25 neeao发表于2007-05-25 00:55:02
[quote=wyc]
站长是河南的?豫ICP备05001235号
你的程序很好用,但我是菜鸟,我提个请求:
能不能加入个判断 . 比如:别人输入了5次注入代码后再自动封他的IP?
如果您有时间改了麻烦发给我一份. wyc668163.com

对不起,已经停止了对此软件的更新了!有修改版的,你可以自己到网上找找!
引用   支持(0) 反对(0)  
26 wyc发表于2007-05-25 18:45:07
我找了半天找不到阿!
引用   支持(0) 反对(0)  
27 joker发表于2007-06-15 19:11:12
有BUG!
我在你的留言本详细叙述了!
引用   支持(0) 反对(0)  
28 ycxjy发表于2007-06-16 23:05:21
你好,我在我的网站上加入了你的防注入系统后,有的页面打不开了,提示500错误,但首页和其它一些页面可以打开的,也可以进入防注入系统的后台进行设置,为什么会这样?如何解决,请帮帮忙,谢谢!
引用   支持(0) 反对(0)  
29 风平浪静发表于2007-06-22 02:54:15
我加了代码,可是登录不了后台了
,是否可以在设置的时候加入自己
觉得不需要过滤的呢
非法操作!系统做了如下记录↓
操作IP:210.22.56.42
操作时间:2007-6-21 18:48:20
操作页面:/Admin_ChkLogin.asp
提交方式:POST
提交参数:Submit
提交数据: 确 认
引用   支持(0) 反对(0)  
30 neeao发表于2007-06-22 04:06:51
引用 风平浪静 说过的话:

我加了代码,可是登录不了后台了
……

加的有的啊,呵呵!这个最终版本中加的有的!
引用   支持(0) 反对(0)  
31 longaohun发表于2007-12-30 17:52:33
你好,我用了3.1最终版本,为什么上传程序不能用啊,.jpg .swf都不能上传
引用   支持(0) 反对(0)  
32 gelan发表于2008-06-03 18:31:45
呵呵,很长,分三段发的
引用   支持(0) 反对(0)  
33 neeao发表于2008-06-04 01:19:23
引用 gelan 说过的话:

呵呵,很长,分三段发的

不好意思,你提供的数据我已经保存了,刚开始数据库出了点问题,现在已经恢复了。多谢你提供资料。
引用   支持(0) 反对(0)  
34 xiaoxin15发表于2008-06-04 01:41:26
我不会用你的这个软件啊。我下载了你的这个版本,能教一下吗,谢谢了。
引用   支持(0) 反对(0)  
35 xiaoxin15发表于2008-06-04 01:50:44
密码我改了,3个文件是放到那个文件夹里面?数据库的路径还需要改吗?
引用   支持(0) 反对(0)  

发表评论


评论内容 (必填):