作者
|
标题: 有问题请教各位大侠~!SOS~~~!!!
|
☆蜡烛头☆
未注册
|
| |
这几天,在我们的聊天室里,来了几个辽宁的家伙,他们盗去了我们聊天室管理员的密码,在里面随意的升级,更改经验点数。。。弄的整个聊天室大骂打倒黑客,维护菏聊。。。唉,惨象好多网友都瞧见了,乱踢,乱炸。。最后还说什么开个玩笑。。。晕。。。 我们的聊天室是红蜻蜓3.0的,原来的几个BUG都堵上了,他们是用什么手段盗取得密码呢?而且可以更改用户名,经验点数,是不是就是说,他们可以更改数据库呢。。。我没用过聊天室管理员。。。不知道是个什么情况,而且后台的路径已经删掉了,可是他们还是可以进来,所以,我感觉很奇怪,或许是我太菜了吧。。。请各位高手研究一下,我们迫切的需要防范一下,这样整个聊天室的秩序就全毁了呀。。。。 网址是www.hezeonline.net/liaotian/login.asp 各位大侠,如果想要测试的话,请小心一点噢~~因为监控已经启动了。。。。代理。。。可是少不了要走的呀。。。。。。。。。。 请大家帮忙了,这可是电信的产物。。。再次说明请小心。。。跟我一样的菜鸟,请不要轻易尝试。。。
| |
IP: 已记录
|
|
|
病毒
未注册
|
| |
不要在ASP文件中检验用户,用后台SP来实现。 还有后台程序用将 “ ' ” 过滤掉
| |
IP: 已记录
|
|
|
☆蜡烛头☆
未注册
|
| |
谢谢,你能说的在详细一点吗?难道说,他用的是缺省名攻击的。。。。可是,后台路径已经删掉了呀。他怎么还是可以进来呢???请大侠指教。。。
| |
IP: 已记录
|
|
|
病毒
未注册
|
| |
屏蔽 ' 是为了防止在输入时用来用构造户名和密码 俺说在后台写SP实现是为了避免在ASP中判断用户,密码等。这样即使对方拿到了。ASP文件也无法确认。
| |
IP: 已记录
|
|
|
hotice
未注册
|
| |
对,如果用ASP验证密码的话,是有很大的漏洞的。 很多网站用的是以下的sql,sql="select*from user where username='"&username&"'and pass=' "& pass &'",这样你就可以根据sql编造一个特别的用户名和密码。如: tian' or '1'='1 就可以。 这是因为用了上面的用户名后,程序就变成了: sql="select*from username="&tian'or'1'=1&"and pass="&pass&" “or“是说只要有一个成立就都成立,而1代表”true“,即真实的。那么"and"就被屏蔽了。 这样别人就可能进入管理员才能进入的地方。 而不是你们的密码丢了。 其实构造一个特别的名字不难,难就难在你要能看到原代码,所以你的asp程序一定要加密。还有尽量把能打的补丁都打起来。上面那位病毒老兄讲的不错啊。
| |
IP: 已记录
|
|
|
|
第007元素
未注册
|
| |
好久没有看你了,伙计上哪了! 快与我联系啊! 我们的主页有更新了地址也换了一个快的! HTTP://CHOL.51.NET 快去看看啊! 今天我就要回家了最近可能上不了网!! 主页的社区你要去维护一下啊! 我帮你注册了!资料发到你的OICQ上了 还有一权限给你了!
| |
IP: 已记录
|
|
|