SQL全局防注入代码

  • A+
所属分类:网络安全文章
阿里


推广者专属福利,新客户无门槛领取总价值高达2775元代金券,每种代金券限量500张,先到先得。

SQL全局防注入代码

【PHP】

1.将waf文件夹复制到服务器任意位置,修改php.ini文件。

增加如下代码(假设cesafe_waf.php文件在home目录)

  1. auto_prepend_file = "/home/cesafe_waf.php"

重启apache即可!

【JSP】

1.SQLFilter.java为过滤的源文件。可自行对SQL过滤的关键字进行修改。放在自己项目源码中进行编译。(路径不一致的时候请修改包名)

2.SQLFilter.class为编译后的文件,如果不想修改(修改的话对SQLFilter.java进行修改)放在项目web目录/WEB-INF/classes/com/filter/下。

3.修改web.xml。新增如下代码。

  1. <filter>
  2. <filter-name>SQLFilter</filter-name>
  3. <filter-class>com.filter.SQLFilter</filter-class>
  4. </filter>
  5. <filter-mapping>
  6. <filter-name>SQLFilter</filter-name>
  7. <url-pattern>/*</url-pattern><!--这里是针对所有的请求都进行过滤-->
  8. </filter-mapping>
  9. <welcome-file-list>

【ASPX】

1.将过滤器文件复制到ASP.Net项目根目录(复制App_Code到根目录)

2.在Web.config中进行配置。先查看该文件中是否有modules标签

a)若有,直接在添加;

b)若无,在system.web标签中添加如下代码:

  1. <modules>
  2. <addname="MyExampleModule"type="SqlInjectAttribute"/>
  3. </modules>

3.过滤的关键字可以自己修改,response.Redirect("~")是返回到首页,可以自己修改重定向到其他页面。

也可以根据其他漏洞的关键特征进行自定义更新,比如任意文件读取的关键字../../类等。
也可以在Webserver下攻防设置阻断。
当然这种方式也不一定是万能的,针对群集式站点就略显鸡肋。只是规则的匹配,也不能智能语义判断,安全是相对的,本篇主要想为没买WAF又不想自己写规则的朋友提供帮助。

代码下载链接:

部分内容被隐藏
需登陆后可查看
CE安全网

发表评论

您必须登录才能发表评论!