paip.Answer 3.0 注册功能SQL注入漏洞解决方案
paip.Answer 3.0 注册功能SQL注入漏洞解决方案
作者Attilax , 1466519819@qq.com
今天使用WebInspect 9.20扫描网站漏洞,我的网站系统是Answer 3.0 ,发现SQL注入漏洞
影响功能:注册时AJAX检测用户名重复功能。以及注册功能..
修改如下:
1.checkaccount.aspx.cs中GetResult()方法增加TRY----CATCH结构
File
dsukateo/share/checkaccount.aspx.cs
protected string GetResult()
{
string Result = "";
string Account = xParmeter.GetValidParam("Account");
try
{
...............
}
catch (Exception ex)
{
Result = ex.Message;
}
return Result;
}
2.ECustom.ChkAccount() 修改,增加一个用户名检查器和一个SQL过滤器
public bool ChkAccount(int id, string Account)
{
ati L9.20 sql inject fix
unameChecker c = new unameChecker();
c.checkEx(Account);
Account = m.SqlFilter.filt(Account);
// //end
string SQL = "SELECT id FROM Custom WHERE Account='" + Account + "'";
.............
}
3.实现用户名检查器
public class unameChecker
{
public unameChecker()
{
//
//TODO: 在此处添加构造函数逻辑
//
}
public void checkEx(string uname)
{
if (uname.Length >= 20)
throw new Exception("EL919:用户账号太长,请小于20位");
if (!check(uname))
throw new Exception("EL9191:用户账号不符合规则,应该是英文字母加数字或者邮箱格式");
}
public bool check(string str)
{
System.Text.RegularExpressions.Regex reg1
= new System.Text.RegularExpressions.Regex(@"^[A-Za-z0-9@\.]+$");
return reg1.IsMatch(str);
}
4.实现SQL过滤器
public class SqlFilter
{
public SqlFilter()
{
//
//TODO: 在此处添加构造函数逻辑
//
}
public static string filt(string sql)
{
sql = sql.Replace("'", "''");
// sql = sql.Replace("%", "'%");
return sql;
}
}
再次使用WebInspect扫描,漏洞消失...
paip.Answer 3.0 注册功能SQL注入漏洞解决方案相关推荐
- WeiPHP5.0 SQL注入漏洞1
本博客已搬迁至:https://n0puple.github.io/ 此处不再更新文章 本文仅用于技术讨论与研究,文中的实现方法切勿应用在任何违法场景.如因涉嫌违法造成的一切不良影响,本文作者概不负责 ...
- 74CMS(骑士CMS) 存在SQL注入漏洞(CNVD-2021-43389)
文章目录 74CMS(骑士CMS) 存在SQL注入漏洞(CNVD-2021-43389) 1.74CMS(骑士CMS)简介 2.漏洞描述 3.影响版本 4.fofa查询语句 5.漏洞复现 6.POC& ...
- php100漏洞,phpyun人才管理系统V5.0 SQL注入漏洞分析
*世界上最愚蠢的事莫过于我们无比狂热地做一件事,到最后却不知道为什么要做* cms背景介绍 PHP云人才管理系统(phpyun)是国内主流人才管理CMS系统之一!PHP云专为中文用户设计和开发,采用: ...
- 0起点自学sql注入
SQL 注入天书-ASP 注入漏洞全接触选择自 digituser 的 Blog 随着B/S 模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多.但是由于这个行业的入门门槛不高,程序员的水 ...
- 动网 php v1.0 漏洞,动网论坛dispuser.php页面SQL注入漏洞
受影响系统: 动网论坛 Dvbbs php 2.0++ 描述: DVBBS是一款Aspsky.Net开发和维护的开放源码ASP Web论坛程序. 在DVBBS的dispuser.php文件中: if( ...
- 【代码审计】iCMS_v7.0.7 admincp.app.php页面存在SQL注入漏洞分析
0x00 环境准备 iCMS官网:https://www.icmsdev.com 网站源码版本:iCMS-v7.0.7 程序源码下载:https://www.icmsdev.com/downloa ...
- 【代码审计】iCMS_v7.0.7 apps.admincp.php页面存在SQL注入漏洞分析
0x00 环境准备 iCMS官网:https://www.icmsdev.com 网站源码版本:iCMS-v7.0.7 程序源码下载:https://www.icmsdev.com/downloa ...
- 【代码审计】iCMS_v7.0.7 search.admincp.php页面存在SQL注入漏洞
0x00 环境准备 iCMS官网:https://www.icmsdev.com 网站源码版本:iCMS-v7.0.7 程序源码下载:https://www.icmsdev.com/downloa ...
- 【代码审计】iCMS_v7.0.7 keywords.admincp.php页面存在SQL注入漏洞分析
0x00 环境准备 iCMS官网:https://www.icmsdev.com 网站源码版本:iCMS-v7.0.7 程序源码下载:https://www.icmsdev.com/downloa ...
- guestbook.php注入,Destoon 6.0 guestbook.php 通用SQL注入漏洞
作者:phithon 补丁分析 1.jpg (15.43 KB, 下载次数: 107) 2017-1-17 09:52 上传 刚看到今天发布了Destoon 6.0 2017-01-09 更新,用我在 ...
最新文章
- [转]Git忽略规则及.gitignore规则不生效的解决办法
- apache php php.ini,apache php环境搭建 httpd.conf php.ini 修改点
- 关于react中setState的深入理解
- 数字货币 electron cash钱包 如何长时间存放数字货币
- 如何正确使用迁移学习
- (chap6 Http首部) 请求首部字段 If-Modified-SinceIf-None-Match If-RangeIf-Unmidified-Since
- 内网发现,域名解析 mDNS(Arduino实现)
- A Survey on Knowledge Graph-Based Recommender Systems 知识图谱提升推荐系统准确性与可解释性ArXiv 2020
- 使用Jackson解析JSON
- Zend Studio IDE使用yii framework框架无代码提示的解决方法
- SQL2008安装 VS2008安装(VS2010存在的情况下)
- 微星小飞机界面翻译_小巧高效翻译软件Xtranslator的正确使用姿势
- CentOS故障排除详解(2): 进程相关
- 企业IT基础架构设计概要
- 关于pr的一些实用小知识
- 苹果工具条_苹果iOS 13.4 Beta 1来袭:网友直接吐槽0创新
- LDPC码的EXIT图
- 一图看懂信用报告在线查询指南
- 如何抓取 bet365 即时足球比分数据
- 泰兰德的记忆·悲情伊利丹
热门文章
- 【剑指offer】二进制中1的个数
- UML序列图总结(转)
- php-mvc模式(2)
- LIstView和TreeView相关联
- fiddler 对https支持
- [APIO2009]抢掠计划 ($Tarjan$,最长路)
- ARM编译中的RO、RW和ZI DATA区段[转]
- Python迭代器(Iterator)
- Why Every Organization Needs an Augmented Reality Strategy?How Does Augmented Reality Work?
- 190316每日一句