防御ASP里的Cookies注入攻击

      ASP里的SQL注入攻击可谓是众ScriptBoy(脚本小子)皆知了,因其技术的简易性而使得这项攻击技术非常容易入门,所以也对许多网站造成了不小的危害,于是就有人为了防御这种攻击而写出的一种叫SQL防注系统的小程序,其主要原理是过滤掉通过Get方式和Post方式提交的参数里的非法数据,但却没有想到Cookies的参数会有什么问题,于是也就没有做过滤,但是不久后,就有人提出了绕过防注系统进而可继续对ASP程序进行注入攻击的方法,也就是稍高一级的Cookies注入攻击。

      经过我的简单研究,弄清了其中的原理,其实防御这种攻击也很简单,可以在原来的防注程序里加入对Cookies参数的过滤,或者用Request.QueryString()代替Request()获取通过Get方式提交的数据即可防御通过利用Request()取数据的顺序的特点进行的cookies注入攻击。所以平时在ASP环境下进行编程时,如果要取得以Get方式提交的参数,则用Request.QueryString()吧,最好就不要为了少写几个字母而使用Request()了。

你可能感兴趣的:(信息安全)