20CN网络安全小组第一代论坛: 有问题请教各位大侠~！SOS~~~！！！

这是在 20CN网络安全小组第一代论坛 的论坛 菜鸟乐园 中的主题 有问题请教各位大侠~！SOS~~~！！！。

要查看这个主题，请使用这个 URL:
http://www.20cn.net/cgi-bin/ubb/ultimatebb.cgi?ubb=get_topic;f=1;t=000069

由 ☆蜡烛头☆ 发表于 :

这几天，在我们的聊天室里，来了几个辽宁的家伙，他们盗去了我们聊天室管理员的密码，在里面随意的升级，更改经验点数。。。弄的整个聊天室大骂打倒黑客，维护菏聊。。。唉，惨象好多网友都瞧见了，乱踢，乱炸。。最后还说什么开个玩笑。。。晕。。。
我们的聊天室是红蜻蜓3.0的，原来的几个BUG都堵上了，他们是用什么手段盗取得密码呢？而且可以更改用户名，经验点数，是不是就是说，他们可以更改数据库呢。。。我没用过聊天室管理员。。。不知道是个什么情况，而且后台的路径已经删掉了，可是他们还是可以进来，所以，我感觉很奇怪，或许是我太菜了吧。。。请各位高手研究一下，我们迫切的需要防范一下，这样整个聊天室的秩序就全毁了呀。。。。
网址是www.hezeonline.net/liaotian/login.asp
各位大侠，如果想要测试的话，请小心一点噢~~因为监控已经启动了。。。。代理。。。可是少不了要走的呀。。。。。。。。。。
请大家帮忙了，这可是电信的产物。。。再次说明请小心。。。跟我一样的菜鸟，请不要轻易尝试。。。

由病毒发表于 :

不要在ASP文件中检验用户，用后台SP来实现。
还有后台程序用将 “ ' ” 过滤掉

由 ☆蜡烛头☆ 发表于 :

谢谢，你能说的在详细一点吗？难道说，他用的是缺省名攻击的。。。。可是，后台路径已经删掉了呀。他怎么还是可以进来呢？？？请大侠指教。。。

由病毒发表于 :

屏蔽 ' 是为了防止在输入时用来用构造户名和密码
俺说在后台写SP实现是为了避免在ASP中判断用户，密码等。这样即使对方拿到了。ASP文件也无法确认。

由 hotice 发表于 :

对，如果用ASP验证密码的话，是有很大的漏洞的。
很多网站用的是以下的sql，sql="select*from user where username='"&username&"'and pass='
"& pass &'",这样你就可以根据sql编造一个特别的用户名和密码。如： tian' or '1'='1 就可以。
这是因为用了上面的用户名后，程序就变成了：
sql="select*from username="&tian'or'1'=1&"and
pass="&pass&"
“or“是说只要有一个成立就都成立，而1代表”true“，即真实的。那么"and"就被屏蔽了。
这样别人就可能进入管理员才能进入的地方。
而不是你们的密码丢了。
其实构造一个特别的名字不难，难就难在你要能看到原代码，所以你的asp程序一定要加密。还有尽量把能打的补丁都打起来。上面那位病毒老兄讲的不错啊。

由 TomyChen 发表于 :

呵呵hotice君说得很棒！！！

由 第007元素 发表于 :

好久没有看你了，伙计上哪了！
快与我联系啊！
我们的主页有更新了地址也换了一个快的！
HTTP://CHOL.51.NET
快去看看啊！
今天我就要回家了最近可能上不了网！！
主页的社区你要去维护一下啊！
我帮你注册了！资料发到你的OICQ上了
还有一权限给你了！