从360安全论坛里找到的一段代码,经过整理封装,直接在站点Global.asax文件或写一个HttpModule来拦截恶意请求即可;

http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=711&page=1&extra=#pid1927

using System.Text.RegularExpressions;

using System.Web;  

/// <summary>

/// Web请求安全检查:防止跨站点脚本,Sql注入等攻击,来自:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=711&page=1&extra=#pid1927

/// 检查数据包括:

/// 1.Cookie

/// 2.当前页面地址

/// 3.ReferrerUrl

/// 4.Post数据

/// 5.Get数据

/// </summary>

public class Safe360

{

    #region 执行安全检查  

    /// <summary>

    /// 执行安全检查

    /// </summary>

    public static void Procress()

    {

        const string errmsg =

            "<div style='position:fixed;top:0px;width:100%;height:100%;background-color:white;color:green;font-weight:bold;border-bottom:5px solid #999;'><br>您的提交带有不合法参数,谢谢合作!<br><br>了解更多请点击:<a href='http://webscan.360.cn'>360网站安全检测</a></div>";  

        if (RawUrl())

        {

            HttpContext.Current.Response.Write(errmsg);

            HttpContext.Current.Response.End();

        }  

        if (CookieData())

        {

            HttpContext.Current.Response.Write(errmsg);

            HttpContext.Current.Response.End();

        }  

        if (HttpContext.Current.Request.UrlReferrer != null)

        {

            if (Referer())

            {

                HttpContext.Current.Response.Write(errmsg);

                HttpContext.Current.Response.End();

            }

        }  

        if (HttpContext.Current.Request.RequestType.ToUpper() == "POST")

        {

            if (PostData())

            {

                HttpContext.Current.Response.Write(errmsg);

                HttpContext.Current.Response.End();

            }

        }

        if (HttpContext.Current.Request.RequestType.ToUpper() == "GET")

        {

            if (GetData())

            {

                HttpContext.Current.Response.Write(errmsg);

                HttpContext.Current.Response.End();

            }

        }

    }  

    #endregion  

    #region 安全检查正则  

    /// <summary>

    /// 安全检查正则

    /// </summary>

    private const string StrRegex =

        @"<[^>]+?style=[\w]+?:expression\(|\b(alert|confirm|prompt)\b|^\+/v(8|9)|<[^>]*?=[^>]*?&#[^>]*?>|\b(and|or)\b.{1,6}?(=|>|<|\bin\b|\blike\b)|/\*.+?\*/|<\s*script\b|<\s*img\b|\bEXEC\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\s+(TABLE|DATABASE)";  

    #endregion  

    #region 检查Post数据  

    /// <summary>

    /// 检查Post数据

    /// </summary>

    /// <returns></returns>

    private static bool PostData()

    {

        bool result = false;  

        for (int i = 0; i < HttpContext.Current.Request.Form.Count; i++)

        {

            result = CheckData(HttpContext.Current.Request.Form[i]);

            if (result)

            {

                break;

            }

        }

        return result;

    }  

    #endregion  

    #region 检查Get数据  

    /// <summary>

    /// 检查Get数据

    /// </summary>

    /// <returns></returns>

    private static bool GetData()

    {

        bool result = false;  

        for (int i = 0; i < HttpContext.Current.Request.QueryString.Count; i++)

        {

            result = CheckData(HttpContext.Current.Request.QueryString[i]);

            if (result)

            {

                break;

            }

        }

        return result;

    }  

    #endregion  

    #region 检查Cookie数据  

    /// <summary>

    /// 检查Cookie数据

    /// </summary>

    /// <returns></returns>

    private static bool CookieData()

    {

        bool result = false;

        for (int i = 0; i < HttpContext.Current.Request.Cookies.Count; i++)

        {

            result = CheckData(HttpContext.Current.Request.Cookies[i].Value.ToLower());

            if (result)

            {

                break;

            }

        }

        return result;

    }  

    #endregion  

    #region 检查Referer  

    /// <summary>

    /// 检查Referer

    /// </summary>

    /// <returns></returns>

    private static bool Referer()

    {

        return CheckData(HttpContext.Current.Request.UrlReferrer.ToString());

    }  

    #endregion  

    #region 检查当前请求路径  

    /// <summary>

    /// 检查当前请求路径

    /// </summary>

    /// <returns></returns>

    private static bool RawUrl()

    {

        return CheckData(HttpContext.Current.Request.RawUrl);

    }  

    #endregion  

    #region 正则匹配  

    /// <summary>

    /// 正则匹配

    /// </summary>

    /// <param name="inputData"></param>

    /// <returns></returns>

    private static bool CheckData(string inputData)

    {

        return Regex.IsMatch(inputData, StrRegex);

    }  

    #endregion

}

  

 

在Global.asax里调用的代码:

private void Application_BeginRequest(object sender, EventArgs e)

{

    Safe360.Procress();

}

  

网站跨站点脚本,Sql注入等攻击的处理的更多相关文章

  1. [原]网站跨站点脚本,Sql注入等攻击的处理

    从360安全论坛里找到的一段代码,经过整理封装,直接在站点Global.asax文件或写一个HttpModule来拦截恶意请求即可: http://bbs.webscan.360.cn/forum.p ...

  2. 使用过滤器解决SQL注入和跨站点脚本编制

    1 SQL注入.盲注 1.1 SQL注入.盲注概述 Web 应用程序通常在后端使用数据库,以与企业数据仓库交互.查询数据库事实上的标准语言是 SQL(各大数据库供应商都有自己的不同版本).Web 应用 ...

  3. ASP.NET Core中的OWASP Top 10 十大风险-跨站点脚本攻击 (XSS)

    不定时更新翻译系列,此系列更新毫无时间规律,文笔菜翻译菜求各位看官老爷们轻喷,如觉得我翻译有问题请挪步原博客地址 本博文翻译自: https://dotnetcoretutorials.com/201 ...

  4. IBM Rational AppScan:跨站点脚本攻击深入解析

    IBM Rational AppScan:跨站点脚本攻击深入解析    了解黑客如何启动跨站点脚本攻击(cross-site scripting,XSS),该攻击危害(及不危害)什么,如何检测它们,以 ...

  5. 跨站点脚本攻击XSS

    来源:http://www.freebuf.com/articles/web/15188.html 跨站点脚本攻击是一种Web应用程序的攻击,攻击者尝试注入恶意脚本代码到受信任的网站上执行恶意操作.在 ...

  6. 【漏洞三】跨站点脚本(XSS)攻击

    [漏洞] 跨站点脚本(XSS)攻击 [原因] 跨站点脚本(也称为xss)是一个漏洞,攻击者可以发送恶意代码(通常在(Javascript的形式)给另一个用户.因为浏览器无法知道脚本是否值得信任,所以它 ...

  7. 使用SQLMAP对网站和数据库进行SQL注入攻击

    from:http://www.blackmoreops.com/2014/05/07/use-sqlmap-sql-injection-hack-website-database/ 0x00 背景介 ...

  8. 跨站点脚本编制-XSS 描述及解决方法

    跨站点脚本编制可能是一个危险的安全性问题,在设计安全的基于 Web 的应用程序时应该考虑这一点.本文中,描述了这种问题的本质.它是如何起作用的,并概述了一些推荐的修正策略. 当今的大多数网站都对 We ...

  9. 跨站点脚本编制 - SpringBoot配置XSS过滤器(基于mica-xss)

    1. 简介   XSS,即跨站脚本编制,英文为Cross Site Scripting.为了和CSS区分,命名为XSS.   XSS是最普遍的Web应用安全漏洞.这类漏洞能够使得攻击者嵌入恶意脚本代码 ...

随机推荐

  1. android开发注意事项

    写到哪里算哪里,从新项目 说说我怎样开发 1.新建项目,创建自己的application 在Application中初始化xutils3和自己的UncaughtExceptionHandler,添加 ...

  2. 在QtCreator中使用doxygen

    接触Doxygen后,认识到其强大之处,一口气将之前的烂代码重构了一遍,所有的文件头,函数注释等等都是手动添加注释.在keil中可以看到其对JavaDoc风格的注释有高亮,非常好看.但是keil这个I ...

  3. PHP陷阱,一些注意事项

    判断的一些注意事项 count(false) > 0 // true count(0) > 0 // true "随便一个字符串" == 0 // true " ...

  4. IIS7错误“Web服务器被配置为不列出此目录的内容”的解决办法

    *打开 Internet 信息服务(IIS)管理器 - 目录浏览 选择启用即可.

  5. REDHAT一总复习1 ssh配置 禁用root用户SSH连接

    生成SSH公钥 $ ssh-keygen 生成的公钥安装到指定的服务器上,这里安装到desktop0上的student账户 $ ssh-copy-id desktop0 $ su - 禁用root用户 ...

  6. Linux或Unix环境利用符号链接升级Maven

    1,解压Maven到安装目录,在解压目录同一级创建刚解压目录的符号链接,命令如下: ln -s apache-maven-3.3.9 apache-maven 2,配置环境变量,这里Maven主目录环 ...

  7. php curl 多线程方法

    <?php /** * curl 多线程 * @param array $array 并行网址 * @param int $timeout 超时时间 * @return array */ fun ...

  8. Yii2 认证实现原理和示例

    Yii的用户认证分为两个部分,一个是User组件,负责管理用户认证状态的,包括登录,登出,检测当前登录状态等,源文件位于vender/yiisoft/yii2/web/User.php.另一个是实现接 ...

  9. js瀑布流 原理实现揭秘 javascript 原生实现

    web,js瀑布流揭秘 瀑布流再很久之前流行,可能如我一样入行晚的 ,可能就没有机会去使用.但是这个技术终究是个挺炫酷的东西,花了一个上午来研究,用原生js实现了一个,下面会附上源码,供大家解读. 说 ...

  10. 项目vue2.0仿外卖APP(六)

    goods 商品列表页开发 布局编写 除了商品之外还有购物车,还有个详情页,挺复杂的. 两栏布局:左侧固定宽度,右侧自适应,还是用flex. 因为内容可能会超过手机高度,超过就隐藏.左右两侧的内容是可 ...