ASP程序密碼驗證漏洞解決方案
2010/8/20 11:05:14
網(wǎng)站建設初期,很多網(wǎng)站把密碼放到數(shù)據(jù)庫中,在登陸驗證中用sql="select * from user where username='"&username&"'and pass='"& pass &'"查詢用戶名、密碼,這種是很不安全的。
解決辦法:構(gòu)造特殊用戶名和密碼
方法一
構(gòu)造以下的用戶名:
username='aa' or username<>'aa'
pass='aa' or pass<>'aa'
相應的在瀏覽器端的用戶名框內(nèi)寫入:aa' or username<>'aa,口令框內(nèi)寫入:aa' or pass<>'aa,注意這兩個字符串兩頭是沒有'的。這樣就可以成功的騙過系統(tǒng)而進入。
注:必須具備兩個條件:
1. 首先要能夠準確的知道系統(tǒng)在表中是用哪兩個字段存儲用戶名和口令的,只有這樣你才能準確的構(gòu)造出這個進攻性的字符串。
2.系統(tǒng)對你輸入的字符串不進行有效性檢查。
方法二
只要根據(jù)sql構(gòu)造一個特殊的用戶名和密碼,如:ben' or '1'='1,程序?qū)兂蛇@樣: sql="select*from username where username="&ben'or'1'=1&"and pass="&pass&"。
注:or是一個邏輯運算符,作用是在判斷兩個條件的時候,只要其中一個條件成立,那么等式將會成立.而在語言中,是以1來代表真的.那么在這行語句中,原語句的"and"驗證將不再繼續(xù),而因為"1=1"和"or"令語句返回為真值。
返回列表
返回首頁
主站蜘蛛池模板:
男女一进一出抽搐免费视频|
久久机热这里只有精品无需|
精品久久久噜噜噜久久久|
国产成人无码a区在线观看视频
|
99久久国产免费-99久久国产免费
99久久国产免费中文无字幕
|
色偷偷亚洲第一综合|
国产欧美日韩三级|
4jzbtv四季彩app下载|
大肉大捧一进一出好爽视频mba|
中国一级片在线观看|
日本一道本高清|
久别的草原电视剧免费观看|
欧美巨大xxxx做受高清|
伊人影视在线观看日韩区|
精品爆乳一区二区三区无码AV|
国产偷国产偷亚洲高清日韩|
狠狠色综合一区二区|
国产精品第2页|
99热这里只有精品66|
女邻居拉开裙子让我挺进|
中文字幕亚洲精品无码|
日本阿v视频高清在线中文|
亚洲av成人精品网站在线播放|
欧美日韩中文字幕在线观看
|
你懂的免费在线|
国产高清在线精品一区|
a级一级黄色片|
女人战争之肮脏的交易|
一级毛片一级片|
成年人毛片视频|
久久91亚洲精品中文字幕|
日本边添边摸边做边爱边|
久久综合丝袜长腿丝袜|
极品虎白女在线观看一线天|
亚洲国产成人久久综合一区|
欧美日韩精品久久久免费观看|
亚洲精品乱码久久久久久按摩|
狠狠精品久久久无码中文字幕
|
久久人人爽人人爽人人爽|
日韩精品视频免费观看|
亚洲av无码成人精品区狼人影院|