绝对零度 北京怀旧80S 低调务实 享受创业

数据库被注入cn.daxia123.cn/cn.js的解决办法


    忽然间成片的网站被 http://cn.daxia123.cn/cn.js 所注入。

    

 

 

 

 

 

攻击者将攻击代码用2进制,或进制编译成了

类似于0x4445434C415245204054205641524348415228323535292C404 的代码:

防sql注入的代码无法识别,但sql server 会将此方式编译的代码还原为原来的样子

这样就绕过了sql防注入代码。

这个代码仅对能解释它的sql server这样的数据库有效

针对access这样的不能解释它的数据库类型攻击无效

 

由于不是“and|update|script”之类的小儿科能够解决的,除非网站全部改静态,否则中招的可能性很大。

解决方法:在数据库第一个字段前面和最后一个字段后面分别加了一个char型的字段,把字段长度设为1,也就是注入的字段如果大于1则注入失败。
 

如此大规模的利用手中肉鸡,对国内网站进行大规模的注入是缺乏道德的行为,应该与熊猫烧香一样受到惩罚!

标签:数据库注入
分类:零度共享| 发布:赵克| 查看: | 发表时间:2008/12/26
原创文章如转载,请注明:转载自赵克 Blog http://www.zhaoke.org/
本文链接:http://www.zhaoke.org/ZHAOKE/418.html

相关文章

◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。

1 #Snowey
Snowey 防患于未然,看好你的漏洞。
2008/12/31 12:46:41 【REPLY】
2 #一二一
一二一 有点意思,不过太没道德了,害得我眼袋加重:(好在现在数据库没事了
2008/12/31 19:24:32 【REPLY】
3 #Davis
Davis 在数据库每个表最前和最后加个char(1)就能解决吗?是什么原理?
2009/2/18 10:05:01 【REPLY】
4 #CC
CC 你的加入一個一個字元長度的方法不錯

我是用條件約束的方法
控制所有的資料錄都不能含有<script

如果資料欄位不能寫入<script字串,等於所有類似的攻擊全部廢了

條件約束

欄位名稱 is not like '%<script%'

2009/8/24 21:15:06 【REPLY】