|
万能密码漏洞以及修复 记得几年前要入侵一个企业网站超级简单 一般只需要找到后台 还有后台通常是www.xxx.com/admin/ 然后账号 密码都是'or'='or' 就进去 现在好像有几个也可以用 但是已经没那么普及了 如果网站还出现这种“万能密码”漏洞该怎么办呢 'or'='or' 漏洞修复 方法有很多在这里介绍两种,咱们使用第2种 方法1: Replace过滤字符 解决方法:查找login.asp下的 username=request.Form("name") pass=request.Form("pass") 修改为: username=Replace(request.Form("name"), "'", "''") pass=Replace(request.Form("pass"), "'", "''") 语法是屏蔽'和''字符来达到效果. 方法2:在conn.asp 内加入���� SSI �ļ�ʱ����
注:(前提 登陆页面有���� SSI �ļ�ʱ����
) 把以下代码保存为safe.asp 下面是程序代码******************************************************** 防注意入也可以用这段代码。。。 希望可以给你带来帮助 |
发表于 2011-3-11 12:10:24