求助：解决asp.net网站被恶意注入的方法（附后台数据库是sql数据库），该网站已经添加了相关的防火墙

Posted 2023-04-27

（这个是正常网页）
（这个是被恶意破坏之后的网页）
本人急切想知道该黑客的攻击手法以及相关的防护措施。

可能是sql注入，xss盲打进后台等等。。。分析攻击手段要日志文件还要网站的源码 只看这个没什么，另外下面的图好蛋疼。能不能把重叠部分的代码贴出来追问

经过诊断应该是数据库被修改了，网站没有被破坏，但是不知道攻击手法，因为数据库已经被加密了。

追答

攻击手法就是sql注入或者xss（跨站脚本攻击） 你给的这点资料没法分析

参考技术A 你这些数据时咋个维护的，由后台的专门人员维护呢 还是开放给可以登入系统的所有有权限的人都可以操作追问

经过诊断应该是数据库被修改了，网站没有被破坏，但是不知道攻击手法，因为数据库已经被加密了

解决Sql注入,防止恶意数据

如果在数据中是这样的,也就是在数据中注入了一条;+Sql语句, 那么这条语句依然会被执行,这样有可能会被恶意操作数据库,如下:

string username = "xxxxx";
string password = "eel\';"+"insert into user set username=\'lee3\',password=\'eel3\';";
MySqlCommand cmd = new MySqlCommand("insert into user set username=\'" + username + "\'" + ",password=\'" + password,conn);

cmd.ExecuteNonQuery();

 

可以使用下边的方式解决恶意注入的情况

 

string username = "xxxxx";
string password = "eel\';insert into user set username=\'lee3\',password=\'eel3\';";
MySqlCommand cmd = new MySqlCommand("insert into user set username=@user,password=@pwd",conn);
cmd.Parameters.AddWithValue("user",username);
cmd.Parameters.AddWithValue("pwd",password);
cmd.ExecuteNonQuery();