ASP、Request对象与SQL注入

• Request对象探讨

  Request是ASP里的一个内部对象，用于获取HTTP请求中传递的任意信息(如头信息、表单数据、cookies等等)。所以这是在ASP里面最常用的内部对象，常用来获得GET方式提交的数据(Request.QueryString)、表单POST提交的数据(Request. Form)和Cookies(Request.Cookies)。

  我们用Request对象可以指定获取某个特定方式提交的数据。比如我们用这段代码获得通过POST提交的数据lake2的值：request.Form("lake2")；而request.queryString("CSDN")获得GET方式提交的CSDN的值。

  对于获取HTTP数据，ASP还给了我们一个更简单的方法：request(key)，即直接使用request而不指定数据集合。此时ASP会依次在QueryString、From、Cookies、ServerVariables、ClientCertificate、Browser中检查匹配的数据，若发现则返回数据。

  上面6个集合中，ServerVariables、ClientCertificate和Browser的变量是固定了的；而QueryString、From、Cookies的变量可以任意指定。想不到Cookies可以拿来传递任意数据，以前倒没有注意。

  OK，test一下先。在本地web目录新建test.asp文件，内容为：<%=request("b")%>

  Step 1：直接访问http://127.0.0.1/test.asp?b=la<b>k</b>e2,浏览器显示lake2

  Step 2：构造表单提交结果也如step 1

  Step 3： 构造表单，GET传递b值为"He"，同时POST的b为"She"，浏览器显示为"He"。呵呵，按前面的排序有个优先级的

  Step 4：Telnet到本地80端口，构造HTTP请求如下(注意Cookies哦)：

  GET /test.asp HTTP/1.1
  Accept: */*
  Accept-Language: zh-cn
  Accept-Encoding: gzip, deflate
  User-Agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; TencentTraveler ; .NET CLR 1.1.4322)
  Host: 127.0.0.1
  Connection: Keep-Alive
  Cookie: b=lake2 , Success !

  在一堆服务器响应数据之后，我们看到了"lake2,Success!"(Q：为什么空格不见了？A：因为未对提交的空格进行URL编码)。

  到此，我们已理论和实际相结合的证明了Cookies可以拿来传递数据。

  Request对象与SQL注入

  现在把话题转一下，我们来说说SQL Injection。

  SQL注入攻击是由于Web应用程序没有过滤用户所提交的有害数据而导致危害服务器的一种攻击手法。注意咯，这里涉及到提交数据，自然要跟刚才说了一大堆的request联系上啊。

  归根结底，ASP下面的SQL注入都是由于request的参数没有过滤或者过滤不严。当然，程序员不是安全专家，他们可能不知道如何过滤。

  于是，网络上就出现了通用的防注入ASP程序——"SQL通用防注入系统"。经过一段时间和几个作者的改进，该程序已经比较完善了，基本上可以拦截SQL注入(但是，个人认为它的过滤方式太严，造成许多不便)。"SQL通用防注入系统"是个asp文件，只需在有参数提交的文件中include它就是了。程序过滤的原理是遍历GET和POST参数的值，发现SQL注入关键字(如and、select)就停止正常文件执行。

• [1] [2] 下一页 
• 复制本页网址和标题，发送给你QQ/Msn的好友一起分享
  
  
• ASP、Request对象与SQL注入 相关文章：
• ·结束SQL注入隐患3招
• ·Web2.0在中国步入歧途 缺赢利模式VC有错
• ·Windows 7操作系统新技术深入探讨
• ·黑客如何利用文件包含漏洞进行网站入侵
• ·知己知彼 看黑客如何入侵Linux操作系统
• ·深入了解微软Windows 7系统
• ·深入分析Windows操作系统死机问题
• ·2007年Adobe设计大赛入围作品(29)
• ·黑客入侵前的信息收集
• ·平板电视工程菜单进入方法汇总
• ASP、Request对象与SQL注入 相关软件
• ·越狱秘密潜入
• ·《深入敌后：雷神战争》火爆试玩
• ·手机游戏：深入黑帮
• ·《交易》— 步入权利与欲望的死亡陷阱
• ·《细致入微的战争铅笔画》
• ·入不思议解脱境界普贤行愿品_男声朗诵版(多背景音乐)
• ·第6届茅盾文学奖入围作品合集
• ·编程教程－MFC入门
• ·猴脑入侵
• ·C语言初学者入门讲座

上一篇:教你在Vista系统中配置VPN网络

下一篇:IIS虚拟主机网站防木马权限设置安全配置整理

• 特别声明：本站除部分特别声明禁止转载的专稿外的其他文章可以自由转载，但请务必注明出处和原始作
• 者.文章版权归文章原始作者所有.对于被本站转载文章的个人和网站，我们表示深深的谢意。如果本站转
• 载的文章有版权问题请联系编辑人员,我们尽快予以更正. 转载请注明来源：http://www.hackhome.com

精品推荐

热点TOP10

特别推荐