SQL通用防注入程序 20091206版

Neeao 发表于 2009-12-06, 14:30. 发表在: 作品发布

本不打算对这个小东东做更新了,不过还是经常收到一些朋友的咨询,以及在使用中遇到了一些问题,今天又收到朋友来信问关于这个东东的问题,正好今天公司值班也没啥事情,就顺手更新一下了。顺便统一在对以前一些朋友提出的问题做下解答。

主要解决了以下几个问题:

  1. 更新搜索引擎跳转引起的误报。其实这个是由于之前的默认的过滤规则中有%的缘故,如果有的网站统计了访问来源的话,就有可能导致搜索引擎过来的访客报sql注入,无法访问,20091206版中删除了对于%和*的过滤。
  2. 修改数据库访问路径为绝对路径。原来的是采用虚拟路径访问数据库的,如果有的朋友部署的目录比较奇怪的话,可能会导致找不到sql防注入的数据库,20091206版本不会有这个问题了,可以支持将数据库放之非web目录。
  3. 修改原来的安全页面功能为安全表单。原来的安全页面功能是为了防止后台添加数据的时候,存在sql注入过滤关键字字符而设置了,本版本修改了安全页面功能为安全表单,将误报白名单细化到了表单。使用方法:如果发现本系统影响了你的网站正常的添加数据,可以将你认为安全的表单添加至安全表单,可通过管理页面查看影响的参数,然后将其添加至后台管理-》参数设置中的安全表单,并启用安全表单即可。
  4. 对后台界面做了优化,实在看不下去以前的后台界面了,太丑了。

代码继续托管至Google,访问地址:http://code.google.com/p/defencesqlinject/

本地下载:/attachments/sql_20091206.rar

如果使用过程中发现问题,请留言或者Email给我。

此为免费程序,可随意使用,不过由于本人已工作,时间有限,恕不提供免费服务,请见谅。

Tags: injection , sql

上一篇: 昨日服务器停机一天
下一篇: sendmail的can not chdir(/var/spool/clientmqueue/)错误问题解决

访客评论

  1. #1 Molutran 2009-12-08, 16:36
    这个不错。很好。
  2. #2 zhirui 2009-12-09, 16:34
    一定要支持 ,太好了,我一直关注中!
  3. #3 xqygng 2009-12-16, 11:02
    请问这个程序修改好数据库路径和名字后,怎么安装?是直接拷贝到网站目录里还是?安装在网站文件的什么目录里呢?谢谢!
  4. #4 333 2009-12-16, 11:53
    本来打算删除的。由于很多通过搜索过来的老是被过滤掉。没想到今天来看看竟然有新版和第一个问题解决了。谢谢!
  5. #5 Neeao 2009-12-16, 14:15
    引用 xqygng 说过的话:
    请问这个程序修改好数据库路径和名字后,怎么安装?是直接拷贝到网站目录里还是?安装在网站文件的什么目录里呢?谢谢!

    安装在网站任意目录里,然后通过后台管理页面查看当前目录的绝对路径,修改下sql注入主文件的数据库绝对路径就可以了。
  6. #6 xqygng 2009-12-16, 16:10
    neeao真是辛苦了,今天我用了你们的程序。请允许我提点建议和我的感想。请你们再接再厉,不断改善,我会永远支持的!
      我把你们的程序弄好了,是完全可以使用的,但是我测试了一下。

    第一,我在我要防注入的页面加上了这个功能后,但注入漏洞还是存在,只是要提示入侵者而已。

    第二,我在IE里用手工注入的方法时,你们程序才管用。当我用阿D之类的注入工具来测试时,根本就一点用也没有是,只是登陆程序的后台后能看到记录入侵者的IP地址。

    第三,我选的处理方式是直接关闭网站。但弹出警告后,网站不会自动关闭,而是弹一个选择是和否的对话框让用户选择,而我选择否的话,网站部会关闭。假如我是入侵者,我大脑有病我才会选择是。

    总的来说,今天测试了一下午后,给我的感觉是,你们的程序做的很好,但是不周到,根本防不了入侵者,但是记录IP着个功能很好。现在还没测试怎么避免记录IP的方法。给我的感觉是在自欺欺人,呵呵!我是着为一个用户来评价的。总之你们很辛苦,很感谢你们的无私。
  7. #7 Neeao 2009-12-16, 18:09
    引用 xqygng 说过的话:
    neeao真是辛苦了,今天我用了你们的程序。请允许我提点建议和我的感想。请你们再接再厉,不断改善,我会永远支持的……

    这位朋友,不知道你是怎么来判断注入成功了的?
  8. #8 xqygng 2009-12-17, 16:54
    用了防注入程序后用阿D等注入工具照样注入成功。
  9. #9 yg 2009-12-17, 20:52
    老大,我下载了你的这个最新版的,总是提示 服务器错误 代码为500。请问是什么原因 啊?
  10. #10 Neeao 2009-12-18, 09:41
    引用 yg 说过的话:
    老大,我下载了你的这个最新版的,总是提示 服务器错误 代码为500。请问是什么原因 啊?
    你看下你的数据库路径设置的对不对?目前的数据库路径是磁盘的绝对路径。
  11. #11 sniperhg 2009-12-19, 01:21
    看了6楼,我内牛满面。。。
    虽然这个版本没有测试,但是neeao早先的通用防注使用了是可以防止注入。
    6楼朋友所谓的注入成功,是如何分辨的呢?
  12. #12 2009-12-20, 11:09
    以前网站一直注入,用了10天没问题,10天后就出现问题了
    为什么我用了这个程序,我主页能进去在点文章就提示非法参数

    并且我是3个域名在同一个网站,我的COM。CN就没问题    可我的。COM就出现这问题

    你们挺辛苦的,谢了
  13. #13 Neeao 2009-12-22, 09:18
    引用 冰 说过的话:
    以前网站一直注入,用了10天没问题,10天后就出现问题了
    ……
    你把你的域名点击的URL看下是否有关键字中的字符
  14. #14 hsl 2009-12-22, 21:28
    neeao辛苦了,首先我非常感谢你的无私,提供了这么好的SQL注入程序,我是一名菜鸟,此程序对我的帮助很大且非常的实用深受大家的喜爱!但是经过切身的实用,确实是存在6楼所说的情况,今天我的站点所有字段都被注入,非常的懊恼,垦请你们在检验实际应用,做到真正防SQL注入,微略更新完善,我会永远支持你的!

                           叩谢
                           一个深受其害者!
  15. #15 2009-12-22, 21:35
    磁盘路径填写什么?
    买的虚拟主机空间,我的数据库到MYDATA目录下
    SqlIn.mdb这个数据库是做什么的
    我菜鸟,请教下
    怎么填写数据库路径
  16. #16 风的样子 2009-12-23, 07:54
    xqygng
    2009-12-17, 16:54
    用了防注入程序后用阿D等注入工具照样注入成功。
    我测试就不可以,没加上防注入就可以注入!加上后就没办法探测,只要探测就被封ip,我不知道你用的是那个版本!我用2.32版!
  17. #17 风的样子 2009-12-23, 08:00
    Neeao :安全表单不起作用,设为启用后安全表单处为空后,全部失去防注入效果!
  18. #18 Neeao 2009-12-23, 14:42
    引用 风的样子 说过的话:
    Neeao :安全表单不起作用,设为启用后安全表单处为空后,全部失去防注入效果!
    请暂时关闭安全表单功能。
    引用 hsl 说过的话:
    neeao辛苦了,首先我非常感谢你的无私,提供了这么好的SQL注入程序,我是一名菜鸟,此程序对我的帮助很大且非常的实用深受大家的喜爱!但是经过切身的实用,确实是存在6楼所说的情况,今天我的站点所有字段都被注入,非常的懊恼,垦请你们在检验实际应用,做到真正防SQL注入,微略更新完善,我会永远支持你的!
                           叩谢
                           一个深受其害者!

    请暂时关闭安全表单功能,看看是否还会被注入。
  19. #19 风的样子 2009-12-24, 01:13
    关闭安全表单可以防注,但是后台也出现问题,所以我在用后台录入数据时开启安全表单!
  20. #20 Neeao 2009-12-24, 09:31
    引用 风的样子 说过的话:
    关闭安全表单可以防注,但是后台也出现问题,所以我在用后台录入数据时开启安全表单!
    你开启安全表单的时候,是不是安全表单为空呢?如果为空的话,那就对了。
  21. #21 godchrist 2009-12-28, 10:22
    如果网站服务器和数据库服务器是分开的 怎么用你的防注入程序?
  22. #22 Neeao 2009-12-28, 11:17
    引用 godchrist 说过的话:
    如果网站服务器和数据库服务器是分开的 怎么用你的防注入程序?
    防注入安装在网站源码上即可。
  23. #23 ve100 2009-12-29, 21:25
    老大,首先非常感谢你,让我看到希望。但是我用的你的SQL通用防注入系统3.1最终纪念版,结果还是被SQL注入了。网站数据全被script之类毁掉!该网站现已经停了、费了。www.herfair.com很多数据恢复不了啦。可参观人工恢复部分后的惨状。
  24. #24 AMLIMSE 2009-12-30, 14:19
    这个防注很管用,可是还是有些问题。
    一是,如果网站上有无组件上传,很容易被拦。。。不易解决。
    二是,可否设置数据库目录可选两种方式,一是绝对路径,二是相对路径。因为很多网站是放在服务器上的,大多数人都不知道网站在服务器上的绝对路径。
  25. #25 cx197609 2010-01-06, 13:04
    非常感谢,我怎么使用后一打开页面就提示我页面中含非法...然后锁IP?
  26. #26 可怜的网站管理员 2010-01-11, 11:23
    谢谢Neeao大大分享

    本人的网站几乎每时每刻都被攻击啊,惨啊!
    经常被人注入google的广告呢,这边还原,不到一小时又被注入了,唉!!
  27. #27 可怜的网站管理员 2010-01-11, 14:10
    ER~~我登陆时要填的用户名是什么啊?
  28. #28 allston 2010-01-11, 14:30
    我按照你的方法安装了,但访问不了啊~~怪啊~

    路径我已经设成绝对路径的了,有几点想请教下
    我网站文件放在 D:\web\myweb
    那按照你文件上的设置应该是

    path                    = "D:\webmyweb\Neeao.com\"    '数据库在磁盘上的路径
    db                        ="D:\webmyweb\Neeao.com\"        '记录数据库路径修改为你的数据库路径

    这样有错吗?谢谢
  29. #29 刘先生 2010-01-17, 17:48
    Microsoft JET Database Engine 错误 '80040e57'

    字段太小而不能接受所要添加的数据的数量。试着插入或粘贴较少的数据。

    D:\FREEHOST\QUXNLUTION\WEB\SEARCH\../sql/Neeao_SqlIn.Asp,行 126

    能帮我看看是怎么回事吗?
  30. #30 刘先生 2010-01-17, 18:04
    Microsoft JET Database Engine 错误 \'80040e57\'

    字段太小而不能接受所要添加的数据的数量。试着插入或粘贴较少的数据。

    D:\\FREEHOST\\QUXNLUTION\\WEB\\SEARCH\\../sql/Neeao_SqlIn.Asp,行 126

    能帮我看看是怎么回事吗?
  31. #31 老创龙 2010-01-19, 16:13
    为甚麽我打开后台使用设置后,按提交却无法显示网页?
  32. #32 BUBU 2010-01-28, 11:27
    ?ID'='
    当这样时显示错误
    技术信息(用于支持人员)

    错误类型:
    Microsoft JET Database Engine (0x80040E14)
    字符串的语法错误 在查询表达式 ''ID'','''')' 中。
    /IP阻止程序/index.asp, 第 409 行

发表评论

评论内容 (必填):