|
作者
|
标题: 有问题请教各位大侠~!SOS~~~!!!
|
☆蜡烛头☆
未注册
|
|
| |
这几天,在我们的聊天室里,来了几个辽宁的家伙,他们盗去了我们聊天室管理员的密码,在里面随意的升级,更改经验点数。。。弄的整个聊天室大骂打倒黑客,维护菏聊。。。唉,惨象好多网友都瞧见了,乱踢,乱炸。。最后还说什么开个玩笑。。。晕。。。
我们的聊天室是红蜻蜓3.0的,原来的几个BUG都堵上了,他们是用什么手段盗取得密码呢?而且可以更改用户名,经验点数,是不是就是说,他们可以更改数据库呢。。。我没用过聊天室管理员。。。不知道是个什么情况,而且后台的路径已经删掉了,可是他们还是可以进来,所以,我感觉很奇怪,或许是我太菜了吧。。。请各位高手研究一下,我们迫切的需要防范一下,这样整个聊天室的秩序就全毁了呀。。。。
网址是www.hezeonline.net/liaotian/login.asp
各位大侠,如果想要测试的话,请小心一点噢~~因为监控已经启动了。。。。代理。。。可是少不了要走的呀。。。。。。。。。。
请大家帮忙了,这可是电信的产物。。。再次说明请小心。。。跟我一样的菜鸟,请不要轻易尝试。。。
| | |
IP: 已记录
|
|
|
病毒
未注册
|
|
| |
不要在ASP文件中检验用户,用后台SP来实现。
还有后台程序用将 “ ' ” 过滤掉
| | |
IP: 已记录
|
|
|
☆蜡烛头☆
未注册
|
|
| | |
谢谢,你能说的在详细一点吗?难道说,他用的是缺省名攻击的。。。。可是,后台路径已经删掉了呀。他怎么还是可以进来呢???请大侠指教。。。
| | |
IP: 已记录
|
|
|
病毒
未注册
|
|
| |
屏蔽 ' 是为了防止在输入时用来用构造户名和密码
俺说在后台写SP实现是为了避免在ASP中判断用户,密码等。这样即使对方拿到了。ASP文件也无法确认。
| | |
IP: 已记录
|
|
|
hotice
未注册
|
|
| |
对,如果用ASP验证密码的话,是有很大的漏洞的。
很多网站用的是以下的sql,sql="select*from user where username='"&username&"'and pass='
"& pass &'",这样你就可以根据sql编造一个特别的用户名和密码。如: tian' or '1'='1 就可以。
这是因为用了上面的用户名后,程序就变成了:
sql="select*from username="&tian'or'1'=1&"and
pass="&pass&"
“or“是说只要有一个成立就都成立,而1代表”true“,即真实的。那么"and"就被屏蔽了。
这样别人就可能进入管理员才能进入的地方。
而不是你们的密码丢了。
其实构造一个特别的名字不难,难就难在你要能看到原代码,所以你的asp程序一定要加密。还有尽量把能打的补丁都打起来。上面那位病毒老兄讲的不错啊。
| | |
IP: 已记录
|
|
|
|
|
第007元素
未注册
|
|
| |
好久没有看你了,伙计上哪了!
快与我联系啊!
我们的主页有更新了地址也换了一个快的!
HTTP://CHOL.51.NET
快去看看啊!
今天我就要回家了最近可能上不了网!!
主页的社区你要去维护一下啊!
我帮你注册了!资料发到你的OICQ上了
还有一权限给你了!
| | |
IP: 已记录
|
|
|
适于打印的主题视图