iT邦幫忙

0

php asp 原碼掃瞄工具

php 網頁設計 asp.net 開發
mingan670302 2009-05-19 15:09:1012046 瀏覽

  • 分享至 

  • twitterImage

不知道有沒有大大知道有免費的 php asp 原碼掃瞄工具.....因為檔案都會被掛碼....

player iT邦大師 1 級 ‧ 2009-05-19 18:01:26 檢舉
應該是SQL資料隱碼的老問題
請把你所有下SQL命令的地方
在組sql命令時
把單引號
都取代成連續2個單引號

即可防止大多數的SQL資料隱碼攻擊
ASP的在組SQL命令, 可以用我的方法試試
http://www.player.idv.tw/prog/index.php/SafeSQL.asp

如果要清理DB
http://www.player.idv.tw/prog/index.php/FixSqlInjection
fillano iT邦超人 1 級 ‧ 2009-05-20 00:01:13 檢舉
檔案被掛馬???是說php/asp的檔案被竄改嗎?如果是這樣,那伺服器應該已經被入侵了,不是掛馬那麼簡單。

如果是用戶輸入的資料問題,google一下應該有不少免費工具可以做sql injection測試,另外就是禁用html/javascript/css,省得麻煩。如果允許用戶使用這些東西,那就得做詳細的過濾。style裡面也可以內嵌javascript的,一不小心就會...像twitter api之前那樣被掛進外部的script。

幾位大大的建議也都可以參考,yasca好像很好玩:)不知道可不可以整合到ant裡面...
fillano iT邦超人 1 級 ‧ 2009-05-20 11:52:18 檢舉
RATS是free software耶,網站上有提供binary以及原始碼,不用錢。

另外,yasca可以整合rats,最後產出整合的報表。yasca是用php寫的...
登入發表討論
圖片
  直播研討會
圖片
{{ item.channelVendor }} {{ item.webinarstarted }} |
{{ formatDate(item.duration) }}
直播中

3 個回答

28
pcboy
iT邦大師 6 級 ‧ 2009-05-19 16:11:50
最佳解答

RATS (有 trial 可以抓)
http://www.fortify.com/security-resources/rats.jsp

RATS is a tool for scanning C, C++, Perl, PHP and Python source code

登入發表回應
20
taiwan101
iT邦新手 4 級 ‧ 2009-05-19 15:39:15

不好意思,請問一下你說的掛碼,是有人在你程式裡面加上script嗎?
如果是這樣,那應該是前端text 在做insert時候,沒有加上檢查機制所致。

建議可以針對每個可以輸入資料的欄位,先做檢查。
例如:僅可以輸入數字的欄位,就不要讓他可以輸入文字。
可以輸入文字的欄位,就不要讓他可以輸入html語法。

這樣可以保險一點。
供您參考。

mingan670302 iT邦新手 5 級 ‧ 2009-05-19 21:00:02 檢舉

是在程式碼裡被掛碼...而且很多檔案很多檔案....
不知道大大說的

建議可以針對每個可以輸入資料的欄位,先做檢查。
例如:僅可以輸入數字的欄位,就不要讓他可以輸入文字。
可以輸入文字的欄位,就不要讓他可以輸入html語法。

這些有範例可看嗎?

登入發表回應
16
gooledh
iT邦新手 1 級 ‧ 2009-05-20 08:57:41

自已寫呀

很簡單的

寫個小程式去偵測存放網頁的資料夾有無異常被修改

如果有修改或刪除或增加的狀況就發mail通知管理員

我現在就是這樣做

否則市面上都是死要錢,要不然就是沒自已想要的

還不如自已寫

登入發表回應

我要發表回答

立即登入回答
iThome鐵人賽
參賽組數
1123
團體組數
52
累計文章數
23096
完賽人數
656
iT+看影片追技術 看影片追技術 看更多
熱門tag 看更多
15th鐵人賽 13th鐵人賽 14th鐵人賽 12th鐵人賽 11th鐵人賽 鐵人賽 2019鐵人賽 2018鐵人賽 javascript 2017鐵人賽 python windows php c# windows server linux css 程式設計 react vue.js
熱門問題
熱門回答
熱門文章
IT邦幫忙