A. 請問網頁代碼產生sql注入的原理
SQL注入就是通過把SQL命令插入到Web表單遞交或輸入域名或頁面請求的查詢字元串,最終達到欺騙伺服器執行惡意的SQL命令。這是定義,從應用來講就是沒有對用戶輸入的特定數據進行過濾或篩選,也就是沒有對用戶輸入的數據合法性進行判斷;又或者對程序中本身的變數處理不當,造成安全隱患。就這樣,一些夾雜在用戶提交的數據中的特定字元或字元串被放進動態構造的sql命令提交給資料庫伺服器進行執行,當執行後返回結果中會包含一些資料庫中用戶的信息。措施呢你可以參見如下鏈接:
B. 什麼是注入那些可以注入需要什麼條件
所謂的SQL(結構化查詢語言)注入,簡單來說就是利用SQL語句在外部對SQL資料庫進行查詢,更新等動作。首先,資料庫作為一個網站最重要的組件之一(如果這個網站有資料庫的話),裡面是儲存著各種各樣的內容,包括管理員的賬號密碼,
隨著B/S模式應用開發的發展,使用該模式編寫程序的程序員越來越來越多,但是由於程序員的水平參差不齊,相當大一部分應用程序存在安全隱患。用戶可以提交一段資料庫查詢代碼,根據程序返回的結果,獲得某些他想要知的數據,這個就是所謂的SQLinjection,即sql注入式攻擊。
腳本注入攻擊者把SQL命令插入到WEB表單的輸入域或頁面請求的查詢字元串,欺騙伺服器執行惡意的SQL命令,在某些表單中,用戶輸入的內容直接用來構造動態的SQL命令,或作為存儲過程的輸入參數,從而獲取想得到的密碼或其它伺服器上的資料。
注入原理:
網站的配備內容等,一旦裡面的數據被某人獲得或者是被修改,那麼那個人就可能獲得整個網站的控制權。至於怎麼獲得這些數據,那些MSSQL弱口令的就不說,剩下的最有可能就是利用注入漏洞。
當用戶在網站外部提交一個參數進入資料庫處理,然後把處理後的結果發給用戶,這個是動態網頁最常見的,但是這個參數一旦沒有被過濾,使得我們自己構造的sql語句也可以和參數一起參與資料庫操作的,那麼SQL注入漏洞就會產生
一個網站上存在外地數據提交是很正常的,一般都是用參數接受(request),然後再進行處理,而涉及於資料庫操作的卻佔了很大的一部分。例如下面的例子
這個地址包含了參數1,以及傳遞該參數的變數cs,意思就是,的文件夾里有一個1.asp文件,1.asp文件內部存在cs變數,作用就是接受有外部提交的一個參數:1,也可以是其他的,那麼在1.ASP這個文件里的相關代碼一般
就是這樣
C. 網站腳本被注入惡意代碼
應該是被黑客掛馬了,例如下面這個網址,我臨時抓的webshell http://www.wjmz.cn/wjmz2008/new_page_2.asp 黑客肯定是找到了你的網站有漏洞,才拿到webshell的,然後選擇批量掛馬,每個文件就有了你說的那種格式,不過一般都是iframe只要你和做網站的人說一下 讓他幫你吧網站程序修復一下就好了,你和他說,他一定知道的
D. 如何把lua腳本注入到魔獸世界
把lua腳本注入到魔獸世界:
Lua腳本在魔獸世界裡的應用不僅限於做宏,做腳本宏,其本質就是編程,只不過在編以魔獸世界為平台和限制的程序,所以要想做出好的腳本宏,根本問題就是建立和提高編程的思維,魔獸世界腳本的限制很大。
在魔獸世界lua的腳本宏中,是用/script [宏語句]來執行宏的,在下面的代碼中,就不寫整個宏(一個一個在前面加/script)了,直接把宏語句寫出來。
賦值語句,在lua編程中,一切都是在處理變數,要定義變數並指定這個變數的值,這個指定變數的值的過程叫做賦值。
[變數名]=[值]這個語句的作用是把變數的值變成[值],如a=1就是把變數a的值指定為1。
[變數名1],[變數名2],[變數名3]……[變數名n]=[值1],[值2],[值3]……[值n]。這個語句相當於[變數名1]=[值1],[變數名2]=[值2],[變數名3]=[值3],[變數名n]=[值n]。比如a,b,c,d,e=14,20,93,61,0相當於a=14,b=20,c=93,d=61,e=0。
條件判斷語句,也就是如果什麼什麼條件成立,就做什麼什麼事,甚至是否則做什麼事。
if [做這件事的條件] then
[要做的事]
end
即如果[做這件事的條件]成立則做[要做的事]
還可以加一個else表示否則做什麼事:
if [做這件事的條件] then
[要做的事]
else
[否則做的事]
end
即如果[做這件事的條件]成立則做[要做的事],否則做[否則做的事]
有時需要根據多種情況決定如何做,就會用到elseif:
if [做A事的條件] then
[A事]
elseif [做B事的條件] then
[B事]
else
[否則做的事]
end
E. 如何在WebBrowser控制項中注入Javascript腳本
在WebBrowser中注入並執行javascript代碼
更多 0
c#WebBrowserWinForm
WebBrowser控制項用來顯示網頁內容,有時候我們需要在網頁中執行一段自定義的javascript代碼。
如下是實現和注釋:
//找到head元素
HtmlElement head = webBrowser1.Document.GetElementsByTagName("head")[0];
//創建script標簽
HtmlElement scriptEl = webBrowser1.Document.CreateElement("script");
IHTMLScriptElement element = (IHTMLScriptElement)scriptEl.DomElement;
//給script標簽加js內容
element.text = "function sayHello() { alert('hello') }";
//將script標簽添加到head標簽中
head.AppendChild(scriptEl);
//執行js代碼
webBrowser1.Document.InvokeScript("sayHello");
F. 網頁簡本注入,執行任意腳本代碼方法。
《網頁自動提交監控工具》有一個簡本管理功能,可實現刪除網頁原有簡本代碼,注入自定義腳本代碼,執行任意腳本函數,給簡本代碼中任意變數復制等,尤其適用於突破網頁本地腳本限制和驗證
G. VC++ 如何執行腳本
1. 導入庫 ,該指令一般加在 stdafx.h 中
#import "msscript.ocx" no_namespace
2. 創建腳本對象//腳本引擎IScriptControlPtr m_pScript;
m_pScript.CreateInstance(__uuidof(ScriptControl));
m_pScript-Timeout = 1000 * nTimeout;//超時設置
m_pScript-PutAllowUI( VARIANT_FALSE );
m_pScript-PutLanguage( _bstr_t(_T("JScript")) );
3. 讀取腳本文件
wstring js = read_file("c:/1.js");//read_file 函數此處略去
4. 增加代碼並執行//增加代碼m_pScript-AddCode( _bstr_t(js.c_str()));
//執行代碼(1.js 中有 main 函數)
m_pScript-(_bstr_t(_T("main()")));
至於腳本和VC的交互,可以通過創建 com 組件來實現,在 vc 工程中,增加一個 com 組件,比如 IVREngine,然後添加方法,在執行腳本前,把該對象增加到腳本引擎中,代碼如下://輔助對象CComPtr<IIVREnginepIVREngine;
pIVREngine.CoCreateInstance(__uuidof(IVREngine));
m_pScript-AddObject( _bstr_t("IVR"), pIVREngine, VARIANT_TRUE );
這時,在腳本(1.js)中,就可以直接調用 IIVREngine 提供的方法了,比如 IVR.PlayFile("c:/1.wav");注意已有相應的類CScriptObject
BOOL CScriptDemoApp::InitInstance(){// Initialize COM
H. 誰能給我個腳本代源碼注入工具!!
呵…要這個做什麼呢??…給你一個ASP+SQL的存儲過程的應用事例先看下面一段代碼:
'聲明與 sql 談話時使用的變數
Dim oServer ' SQL Server 對象
Dim oDatabase ' 要使用的目標資料庫
Dim oBCP ' BCP 對象
Dim nRows ' 從 bcp 返回的行數
dim table ' 表對象
on error resume next
' 第一個參數必須是資料庫
if WScript.Arguments(0) = "" then
WScript.Echo "您沒有提供要連接的資料庫"
WScript.Quit
end if
' 創建 SQL DMO 的實例
Set oServer = CreateObject("SQLDMO.SQLServer")
' 創建 SQL DMO Bulk 對象的實例
Set oBCP = CreateObject("SQLDMO.BulkCopy")
oServer.EnableBcp = True
' 登錄到本地伺服器
' 希望您已經更改了 sa 口令!!
oServer.Connect ".", "sa"
' 連接到提供的資料庫
Set oDatabase = oServer.Databases(Wscript.Arguments(0))
' 將分隔符設置為逗號
oBCP.ColumnDelimiter = vbComma
' 將文件類型設置為以逗號分隔
oBCP.DataFileType = SQLDMODataFile_CommaDelimitedChar
oBCP.ImportRowsPerBatch = 1000
oBCP.MaximumErrorsBeforeAbort = 1
BCP.RowDelimiter = vbCrLf
oBCP.ServerBCPDataFileType = SQLDMOBCPDataFile_Char
oBCP.UseExistingConnection = True
' 如果未提供表,則轉儲所有的表
f wscript.Arguments(1) = "" then
for each table in oDatabase.tables
' 確保該表不是系統表
if table.systemobject = false then
oBCP.DataFilePath = table.name & ".csv"
nRows = table.ExportData(oBCP)
wscript.Echo nRows & " rows exported from " & table.name
end if
next
else
' 設置輸出文件
oBCP.DataFilePath = wscript.Arguments(1) & ".csv"
nRows = oDatabase.Tables(wscript.arguments(1)).ExportData(oBCP)
wscript.Echo nRows & " rows exported from " & wscript.arguments(1)
end if
DMO 的全部內容要比本文介紹的多得多,但我希望本文能給您一些感性認識:用某些簡單的 WSH 腳本和 DMO 可以做些什麼。你可以下示例(英文)。有關 DMO 的詳細信息,請訪問 http://msdn.microsoft.com/library/psdk/sql/9_dmoc01.htm(英文)。
數據轉換服務
從資料庫表中取得一個記錄或計算一個值時,需要使用返回輸出參數的存儲過程。為了舉例,先在SQL Server的pubs庫中新建一存儲過程OUTemploy,該存儲過程需要輸入兩個日期,然後輸出一個最大值。
CREATE PROCEDURE OUTemploy
(
@job_lvl tinyint OUTPUT,
@hire_date1 datetime,
@hire_date2 datetime
)
AS
select @job_lvl = MAX(job_lvl) from employee
where hire_date >= @hire_date1 and hire_date <= @hire_date2
導出到 Comma Separated 文件 (CSV),可以作為將數據導出到 SQL 和從 SQL 導入的起點,但這不象是尖端科技(太過於 20 世紀了,您不覺得嗎?)。「SQL Server 7.0」以「數據轉換服務 (DTS)」的形式,提供了相當完善的導入和導出機制。幸運的是,腳本在「SQL Server」的這個新領域中仍有一席之地,因此,您可以用「Visual Basic(R) 腳本編輯 (VBScript)」、「JScript(R)」或「Perl」的技術來擴展 DTS 的能力。
DTS 的設置非常簡單,特別是在使用「SQL ServerEnterprise Manager」的時候。在默認情況下,「SQL Server」有一個定義的文件夾,可存儲任何轉換,而且「Enterprise Manager」提供了創建和編輯 DTS 程序包的大的圖形用戶界面 (GUI)。在下面的示例中,我選擇了已由 sqlexport.wsf 文件創建的 employees.csv 文件和「SQL Server」中的一個新表。DTA 程序包將創建該表,載入到 Text 文件中,然後運行某個腳本,將數據轉換到「SQL Server」的表中。
http://www.microsoft.com/china/msdn/Archives/library/images/scripting012000-1.gif(圖)DTS 程序包中的轉換,使腳本在整個轉換過程中保持運行狀態。「SQL Enterprise Manager」提供的簡單的腳本編輯器,有一個語法分析腳本按鈕。在運行腳本之前,該按鈕將警告您腳本中的錯誤。在轉換過程中,該腳本使用 VBScript 的 Cint 功能,將 employeeid 和 deptid 的輸入轉換為 int,並將所有的電子郵件地址轉換為小寫字母。
'**********************************************************************
' Visual Basic 轉換腳本
' 把每個源列復制到
' 目標列
'***********************************************************************
Function Main()
DTSDestination("EmployeeID") = cint(DTSSource("Col001"))
DTSDestination("FirstName") = DTSSource("Col002")
DTSDestination("LastName") = DTSSource("Col003")
DTSDestination("email") = lcase(DTSSource("Col004"))
DTSDestination("extension") = DTSSource("Col005")
DTSDestination("office") = DTSSource("Col006")
DTSDestination("DeptID") = cint(DTSSource("Col007"))
Main = DTSTransformStat_OK
End Function
用 DTS,能夠採用某些完善的導入/導出機制,並使您能夠在轉換的任何一步中使用腳本。重要的是,要注意腳本可能不是操作數據的最佳方式 — 尤其是您的數據集很大的話。如果您有大量數據需要轉換,而且性能也很重要,則您可能需要考慮使用 Visual Basic 或 C++ 來創建 COM 組件,然後從 DTS 內部調用該組件。也就是說,如果性能並不重要,並且要在數據導入/導出時對它進行轉換,則腳本為您提供了實現這一點的靈活機制,並使您能夠將所有代碼存儲到「SQL Server」資料庫中,使部署變得相當簡單。
……呀!太多了! 要不你給我來信! 我轉給你…電郵地址 [email protected]
I. js腳本注入
你說的是 防止xss腳本注入攻擊吧。要麼選擇後端直接過濾掉這種類似的<script>alert()</script>字元串,但是這對客戶而言又不太友好。我用的最直接的方法,取得這樣的數據在前端顯示的時候用
vara="<xmp>"+"<script>alert()</script>"+"</xmp>";
再把a加到你要展示的地方,瀏覽器就不會識別它成js代碼去執行了。
僅做參考,按你的實際情況做選擇吧
J. 什麼是腳本注入
測試網站和網頁安全性的,通過在瀏覽器里輸入一些特殊代碼和一些sql資料庫查詢語句,來讓伺服器執行系統管理員所禁止的活動,可以攻佔網站,取得管理許可權,並可以隨意修改網頁內容!
建以樓主裝了防火牆:天網,瑞星,金山網標都幾好!
希望能給予你幫助!