0

フロント エンドとして ASP.net、バック エンドとして SQL Server 2005 として Web サイトを持っています。しかし、バックエンドで非常に奇妙な SQL インジェクションに直面しています。スパム サイトを使用した HTML を使用したある種の CSS は、各テーブルと各 varchar タイプの列を使用して、コードを Web サイト データベースに追加しています。例えば

</title><style>.acoi{position:absolute;clip:rect(439px,auto,auto,439px);}</style><div class=acoi>Apply here <a href=http://gogopaydayloans.com>payday loans</a></div>

私はこれらすべてを試しました。開いているクエリ文字列パラメーターがないことを確認しました。すべてのクエリは、Web サイト全体でパラメーター化されます。私のIISサーバーログは、これのためにどのページを開くかを指定していません。この問題をどのように整理すればよいですか?

4

2 に答える 2

0

その場合、データベースからタイトルを読み取っていますか? その場合、SQL インジェクションが原因です。

挿入事故、SQL インジェクション、Web サーバーの侵害など、あらゆる可能性を探してください。

また、 SQL Serverログをチェックして、それが侵害されていないかどうかを確認してください。それを排除することはできません。

それ以外の場合、多くの詳細がなければ、それが CODE、OS SERVER、WEB SERVER、SQL SERVER 2005、または XSS であるとは言えません。

更新: ほとんどのスパム リンクは XSS の結果であり、フォームがすべての入力を検証していることを確認してください。

更新: 次の記事を使用することもお勧めしますsp_executesql。SQL インジェクションに対して脆弱な場所でコードを使用して いないことを願っていますhttp://taylorza.blogspot.ae/2009/04/sql-injection-are-parameterized-queries.html

于 2013-06-10T11:16:56.597 に答える
-1

を使用してデータベース入力をフィルタリングしてみてください

System.Web.HttpUtility.HtmlEncode(strIn);
于 2013-06-10T10:52:02.003 に答える