3

我有作为前端的经典 ASP 和作为后端的 SQL Server 2005 的网站。

但是我在后端面临着一个非常奇怪的 SQL 注入。

带有垃圾邮件站点的 HTML 的某些类型的 CSS 将它们的代码附加到我的网站数据库中,每个表和每个 varchar 类型列。

例如

</title><style>.am1y{position:absolute;clip:rect(405px,auto,auto,405px);}</style><div class=am1y>same day <a href=http://mazzpaydayloans.com >payday loans</a></div>

我检查了我的 IIS 日志它向我展示了这样

2013-06-09 19:15:54 GET /mypage.asp%3C/title%3E%3Cstyle%3E.axo5{position:absolute;clip:rect(404px,auto,auto,404px);}%3C/style %3E%3Cdiv%20class=axo5%3Eapproval%20%3Ca%20href=http:/mazzpaydayloans.com%20%3Epayday%20loans%3C/a%3E%3C/div%3E - - 204.13.205.99 HTTP/1.1 Mozilla /4.0+(兼容;+MSIE+6.0;+Windows+NT+5.1;+SV1) loginfailure=chance=0&bantime=;+ASPSESSIONIDSSDRRCQQ=EDPHPJGCGLMKOADICKHODKBM - www.mysite.com 404 0 281 543 78

在我这个选定的 ASP 页面上,所有 SQL 查询都已参数化。

但是这个问题仍然存在。

MyPage.asp 代码

new_prot = "http" 
new_https = lcase(request.ServerVariables("HTTPS")) 
if new_https <> "off" then new_prot = "https" 
new_domainname = Request.ServerVariables("SERVER_NAME") 
new_filename = Request.ServerVariables("SCRIPT_NAME") 

set cm1 = Server.CreateObject("ADODB.Command")
cm1.ActiveConnection = conn
cm1.commandtype=1
cm1.CommandText ="select * from Table1 where Web=?"

cm1.prepared=true
dim weburl

set weburl=cm1.createparameter(Web_URL,200,,5000)
weburl.value= Server.HtmlEncode(ltrim(rtrim(new_filename)))
cm1.parameters.append weburl


set Mobile = cm1.execute(RecordsAffected,,adCmdText)


do until Mobile.EOF
response.redirect(Mobile.fields("mob"))
loop
4

1 回答 1

2

首先,您的查询可能是参数化的,但您需要隐含一个存储过程,而不是直接的 SQL 命令。

set cm1 = Server.CreateObject("ADODB.Command")
cm1.ActiveConnection = conn
cm1.commandtype=1
cm1.CommandText ="select * from Table1 where Web=?"

命令文本是 no no

你需要隐含一个存储过程:

CREATE ProcTable 
@ParamWeb INT
as 

SELECT * FROM Table WHERE PAgeID = @ParamWeb

然后执行过程。这可以防止注入,因为页面只能接受 proc 的数值,并且只会返回相关的数据集(空或带有行)

您的命令文本可以有

"; any injection script you want"

附加的

任何注入脚本都可以包含 sqlcmdShell,因此一旦注入,坏人就可以返回表列表、它们的内容、用户、用户数据等

于 2013-06-11T07:51:34.313 回答