ASP登陸驗證頁應做的安全問題!

2021-03-31 08:56:31 字數 1244 閱讀 9094

應對asp溢位漏洞我們應該做全面的字元過濾

一種是會員登陸

下面這一段**是把username的非法字元過濾掉

<%

username=trim(request.form("username"))

userpws=trim(request.form("password"))

if username="" or userpws="" or  instr(username,"=")>0 or instr(username,"%")>0 or instr(username,chr(32))>0 or instr(username,"?")>0 or instr(username,"&")>0 or instr(username,";")>0 or instr(username,",")>0 or instr(username,"'")>0 or instr(username,",")>0 or instr(username,chr(34))>0 or instr(username,chr(9))>0 or instr(username,"")>0 or instr(username,"$")>0 then

response.write('' 請正確輸入使用者名稱和密碼'')

response.end

end if

%>

還有一種是通過位址列輸入非法字元的溢位漏洞

如 一有頁面為newslist.asp一頁面為newspage.asp

我們從newslist.asp傳遞newsid引數到newspage.asp

在newspage.asp接收引數時一般我們只用,

<%

dim newsid

newsid=request(''newsid'')

....................

%>

為安全起見我們至少要加一句

<%

dim newsid

newsid=tirm(request''id'')

if newsid='''' or  instr(newsid,"'")>0  or   instr(newsid,"%")>0 then

response.write(''非法引數'')

response.end

end if

%>

我說的基本上就以上兩點,如有不到之處請多多指教。

雖然在inter***中我們還存在著一些漏洞,但我們多輸入幾行**就更好地增加了**的安全性!

利用非法字元溢位漏洞攻擊**簡單的應對方法

登陸驗證機制

做過web開發的程式設計師應該對session都比較熟悉,session是一塊儲存在伺服器端的記憶體空間,一般用於儲存使用者的會話資訊。使用者通過使用者名稱和密碼登陸成功之後,伺服器端程式會在伺服器端開闢一塊session記憶體空間並將使用者的資訊存入這塊空間,同時伺服器會 在cookie中寫入一個...

ssh登陸強制使用密碼驗證登陸

linux系統使用ssh進行登陸,可以採用密碼登陸和祕鑰登陸。採用密碼登陸每次需要輸入密碼進行驗證,驗證通過則可登陸到環境。祕鑰登陸為在伺服器的客戶端生成相應的公鑰和私鑰,公鑰用於加密,私鑰用於解密。然後將公鑰發給需要連線的服務端。當客戶端需要連線服務端時,服務端利用公鑰將使用者名稱和密碼加密傳送給...

nginx basic auth 登陸驗證模組

1.新建一個pw.pl檔案專門用來生成密碼 usr bin perl use strict my pw argv 0 print crypt pw,pw n 2.修改nginx配置檔案,新增,使用者名稱和密碼存放的位置 auth basic nginx status auth basic user ...

ssh免登陸驗證

1.編輯hosts檔案,新增ip和主機的對映 cache01,cache02,cache03都是我自定義的主機名 vi etc hostname可編輯 2.配置ssh 生成本地金鑰 ssh keygen t rsa 到ssh目錄下 cd root ssh 複製金鑰到authorized keys c...

nginx lua實現登陸驗證

用於在多臺伺服器上單點登入sso 無session,使用者身份的驗證。1 安裝lua yum install readline.x86 64 readline devel.x86 64 wget make linux make install 注意 不要使用5.2版本,5.2版本的lua和nginx...