근대 이거 왜 만들었을까?;;;
Replace 한줄 한줄 넣다 보니 계속 적게 되어 버렸네요

몇년전 인젝션 들어와 난리 칠때 만들었던 펑션입니다.
요즘 간만에 ASP를 뒤적 뒤적 거리는 중이에요 ㅎ

'*******************************************************************
'## Duraboys Plugins Database Filtering
'*******************************************************************
function InjectionFilter(pType)
if ptype = null then
InjectionFilter = ""
Else
'pType = Trim(pType)
pType = replace(pType,"1'1","") 'Blind SQL Injection 시 현재 사용 중인 Encapsulating Quites를 알아 내기 위한 에러 유발   
pType = replace(pType,"1 EXEC SP_(or EXEC XP_)","") 'EXEC를 사용하여 에러를 유발하는 Blind SQL Injection
  pType = replace(pType,"1 AND 1=1","") 'Blind SQL Injection    
pType = replace(pType,"1' AND 1=(SELECT COUNT(*) FROM tablenames);","") '' Table 이름을 찾기 위한 Blind SQL Injection. 일반적으로 아래 tablenames에 추측 가능한 테이블 이름이나, Brute Force를 수행함.     
pType = replace(pType,"1 AND USER_NAME() = 'dbo'","") '알고 있는 사용자가 administrator로 Running하고 있는지 확인
pType = replace(pType,"1\'1","") ' Blind SQL Injection을 위한 에러 유발 코드
pType = replace(pType,"1' AND non_existant_table = '1","") ' Blind SQL Injection을 위해 존재하지 않는 테이블을 호출함으로써 에러를 유발
pType = replace(pType,"' OR username IS NOT NULL OR username = '","") ' username 추출     
pType = replace(pType,"; exec master..xp_cmdshell 'ifconfig'--","") '프로그램 실행
pType = replace(pType,"sysobjects","")
pType = replace(pType,"1 OR 1=1","")
pType = replace(pType,"1' OR '1'='1","")
pType = replace(pType,"'1 OR '1=1 --","")
pType = replace(pType,"' or 1=1 ; --","")
pType = replace(pType,"' or 1=1 --","")
pType = replace(pType," A' or 'A'='A","")

pType = replace(pType,";","")
pType = replace(pType,"'","")
pType = replace(pType,"","")
pType = replace(pType,"?","")
pType = replace(pType,"\","")
pType = replace(pType,"\'","")
pType = replace(pType,"\'`","")
pType = replace(pType,"\`","")
pType = replace(pType,"/","")
pType = replace(pType,"%","")
pType = replace(pType,"--","")

pType = replace(pType,"<p>","<br>")
pType = replace(pType,"</p>","")
pType = replace(pType,"<script","<xscript")
pType = replace(pType,"script>","xscript>")
'Response.Write "<script>alert('"&pType&"')</script>"

pType = replace(pType,"""","xscript>")
pType = replace(pType,"script>","&quot;")
pType = replace(pType,"&","&amp;")
pType = replace(pType,"<","&lt;")
pType = replace(pType,">","&gt;")
InjectionFilter = pType
end if
end Function
저작자 표시 비영리 동일 조건 변경 허락
신고

'☆Develpoer > └ asp' 카테고리의 다른 글

Mod Function  (0) 2011.02.16
Classic ASP page template for VS 2005  (0) 2011.01.28
Database Filtering injection  (0) 2010.12.29
배열을 이용한 InStr로 특정 문자 검색  (0) 2010.12.29
하이퍼링크 강제로 타겟변경하기  (0) 2010.12.01
IP 필터링 클래스별  (0) 2010.11.05

+ Recent posts