author:lake2
今天幫乙個朋友補sql注射漏洞,但是那個破程式漏洞頁面太多,乙個乙個引數過濾好麻煩,於是我就請出sql通用防注入程式咯,這裡特別感謝作者neeao呵呵,一下就搞定了,幫我省了不少事。
使用中我突然舊病**,嘿嘿,又想找最新的3.0β版本的漏洞。
我們知道3.0版有個跨站漏洞,就是由於提交的引數的值沒有被html編碼,不過β版已經補上了。
仔細分析,還有哪些地方是使用者輸入的而且被顯示出來呢,呵呵,除了提交的引數的值還有提交的引數啊。呵呵,這個他可沒過濾。好,測試一下先,http://localhost/sql-test/neeao_sqlin.asp?=and,然後登陸後台,yeah,彈出對話方塊,跨站成功!
跨站的時候要注意字段大小,自己去看看資料庫結構吧,呵呵,enjoy it !
ASP 防 SQL 注入攻擊通用程式
sql 注入被那些菜鳥級別的所謂黑客高手玩出了滋味,發現現在大部分黑客入侵都是基於sql注入實現的,哎,誰讓這個入門容易呢,好了,不說廢話了,現在我開始說如果編寫通用的sql防注入程式一般的http請求不外乎get 和 post,所以只要我們在檔案中過濾所有 post 或者 get 請求中的引數資訊...
編寫通用的ASP防SQL注入程式
sql注入被那些菜鳥級別的所謂黑客高手玩出了滋味,發現現在大部分黑客入侵都是基於sql注入實現的,哎,誰讓這個入門容易呢,好了,不說廢話了,現在我開始說如果編寫通用的sql防注入程式一般的http請求不外乎get 和 post,所以只要我們在檔案中過濾所有post或者get請求中的引數資訊中非法字元...
編寫通用的ASP防SQL注入程式
sql注入被那些菜鳥級別的所謂黑客高手玩出了滋味,發現現在大部分黑客入侵都是基於sql注入實現的,哎,誰讓這個入門容易呢,好了,不說廢話了,現在我開始說如果編寫通用的sql防注入程式一般的http請求不外乎get 和 post,所以只要我們在檔案中過濾所有post或者get請求中的引數資訊中非法字元...