做网站的那帮人不够地道,说了好多年的防注入问题,都没有解决,新做的网站程序还是有问题。提过多少回了,总是时不时发现数据库里有注入留下的痕迹。很是无奈。其实又有什么难的呢?无非就是对URL里的变量进行些检查,对form里的变量进行些检查,再初哥的从网上当个通用防注的也比什么都不干强啊。
预防没个准头,那就亡羊补牢吧,日志量实在是太大,找了几个一般那些日志分析工具似乎也没有分析注入攻击的功能,只好自己动手了。
检查 Microsoft Internet 信息服务W3C扩展日志文件用于发现疑似注入攻击
用法: scanlog /i输入日志文件名(支持通配符) /o输出结果文件名 [/t]判别门限值 [/l]摘要文件名 [/s]
命令行参数:
/? 帮助信息。
/S 检查所有子目录下的日志文件
/T 判别门限值,是否注入判别通过一系列关键字打分得到,分值高于此门限判为注入,默认值为2
/l 摘要文件名,将检查结果产生一个摘要
如:
scanlog /i ex071031.log /o aaa.txt
scanlog /id:iislog*.log /oaaa.txt /ld:mylog.log /t2 /s
参数形式和上次那个convlog1差不多,花了半个下午进行程序优化,不改变硬干本质的前提下尽量快一些,通过努力,稍微提高了些速度,但也不是很快。马马虎虎了。程序还算小巧。其实也就是在日志里查%20and%20,select%20,drop table之类的操作企图。
