iT邦幫忙

0

php asp 原碼掃瞄工具

不知道有沒有大大知道有免費的 php asp 原碼掃瞄工具.....因為檔案都會被掛碼....

player iT邦大師 1 級 ‧ 2009-05-19 18:01:26 檢舉
應該是SQL資料隱碼的老問題
請把你所有下SQL命令的地方
在組sql命令時
把單引號
都取代成連續2個單引號

即可防止大多數的SQL資料隱碼攻擊
ASP的在組SQL命令, 可以用我的方法試試
http://www.player.idv.tw/prog/index.php/SafeSQL.asp

如果要清理DB
http://www.player.idv.tw/prog/index.php/FixSqlInjection
fillano iT邦超人 1 級 ‧ 2009-05-20 00:01:13 檢舉
檔案被掛馬???是說php/asp的檔案被竄改嗎?如果是這樣,那伺服器應該已經被入侵了,不是掛馬那麼簡單。

如果是用戶輸入的資料問題,google一下應該有不少免費工具可以做sql injection測試,另外就是禁用html/javascript/css,省得麻煩。如果允許用戶使用這些東西,那就得做詳細的過濾。style裡面也可以內嵌javascript的,一不小心就會...像twitter api之前那樣被掛進外部的script。

幾位大大的建議也都可以參考,yasca好像很好玩:)不知道可不可以整合到ant裡面...
fillano iT邦超人 1 級 ‧ 2009-05-20 11:52:18 檢舉
RATS是free software耶,網站上有提供binary以及原始碼,不用錢。

另外,yasca可以整合rats,最後產出整合的報表。yasca是用php寫的...
28
pcboy
iT邦高手 1 級 ‧ 2009-05-19 16:11:50
最佳解答

RATS (有 trial 可以抓)
http://www.fortify.com/security-resources/rats.jsp

RATS is a tool for scanning C, C++, Perl, PHP and Python source code

20
taiwan101
iT邦新手 4 級 ‧ 2009-05-19 15:39:15

不好意思,請問一下你說的掛碼,是有人在你程式裡面加上script嗎?
如果是這樣,那應該是前端text 在做insert時候,沒有加上檢查機制所致。

建議可以針對每個可以輸入資料的欄位,先做檢查。
例如:僅可以輸入數字的欄位,就不要讓他可以輸入文字。
可以輸入文字的欄位,就不要讓他可以輸入html語法。

這樣可以保險一點。
供您參考。

是在程式碼裡被掛碼...而且很多檔案很多檔案....
不知道大大說的

建議可以針對每個可以輸入資料的欄位,先做檢查。
例如:僅可以輸入數字的欄位,就不要讓他可以輸入文字。
可以輸入文字的欄位,就不要讓他可以輸入html語法。

這些有範例可看嗎?

16
gooledh
iT邦新手 1 級 ‧ 2009-05-20 08:57:41

自已寫呀

很簡單的

寫個小程式去偵測存放網頁的資料夾有無異常被修改

如果有修改或刪除或增加的狀況就發mail通知管理員

我現在就是這樣做

否則市面上都是死要錢,要不然就是沒自已想要的

還不如自已寫

我要發表回答

立即登入回答