游戏体育-让管理员登陆形同虚设[堕落街论坛]

以文本方式查看主题

-  堕落街论坛  (http://duoluojie.1314179.com.cn:443/index.asp)
--  游戏体育  (http://duoluojie.1314179.com.cn:443/list.asp?boardid=331)
----  让管理员登陆形同虚设  (http://duoluojie.1314179.com.cn:443/dispbbs.asp?boardid=331&id=564)

--  作者：亦秋
--  发布时间：2003/7/26 11:26:00
--  让管理员登陆形同虚设
适用于： *以ASP为核心的、未改正此问题的所有论坛 *在“管理员登录”叶面上，用户名、密码都输入 \'or" 就可以了。 *原理： *利用了SQL语句select * from xxx where user= (uesr) and password= (password)的问题！

--  作者：楚狂
--  发布时间：2003/7/26 11:44:00
--
只有白痴程序员才会编出这样的代码哪有提交的变量不经过检查的阿？而且单引号和空格是重点检查对象`

--  作者：亦秋
--  发布时间：2003/7/26 19:26:00
--
这是我在一个黑客论坛上转过来的，起初也觉得是但是经过他们测试，还是有很多站点是可以这样搞定，所以贴出来，希望大家小心点！

--  作者：楚狂
--  发布时间：2003/7/26 20:28:00
--
動網論壇肯定沒有這麽弱智的漏洞經過了千錘百煉的阿

--  作者：开心就好
--  发布时间：2003/7/27 9:57:00
--
呵呵，俺承认，俺刚学asp一个月的时候，被人用这种办法进入了留言薄的管理界面．问题虽小，但造成的危险却很大，所以如果使用Asp的话，最好不要用这条语句．建议通过用户名取出密码，然后在比较密码是否相同．