月光微博客 » 微网络 » 真想关了留言本

真想关了留言本

  9月6日,一个IP为61.62.46.100(台湾的IP)的家伙于晚上11点在我留言板上乱发文章,我想可能触到霉头了。看来惩罚已经到来了。

  我很鄙视这些人,为了自己的政治斗争,为什么在别人的留言本上乱发东西,这有什么用,最终受害的是我们这些无辜的人,而你们这些人还在台湾享受自己的清福。

  可恨、可耻、可怜。

相关文章

  1. 1. shippo 说道:
    用关键字过滤吧
    会好些
  1. 2. whhacker.cn 说道:
    一、Index.asp 第14行 --- 第19行

    name=Request.Cookies("usernamebook")
    password=Request.Cookies("passwordbook")
    sql="select * from admin where id=1"
    set rs8=conn.execute(sql)
    if not(rs8.bof and rs8.eof) then
    if password=rs8("userpass") and name=rs8("username") then

    直接从用户的Cookie中取出内容作为变量,然后加入查询。 没有经过任何过滤。

    可以导致Cookie注射,直接绕过验证进入后台。

    二、留言为空时,居然会提示

    “BOF 或 EOF 中有一个是“真”,或者当前的记录已被删除,所需的操作要求一个当前的记录。”

    三、后台编辑信息时系统参数时,入库前没有经过任何验证。如果数据库改成.asp格式。又能得到数据库

    地址。那么就可以直接插进木马,拿到webshell

    修补的方法就不提了。 都是些小 Bug. 作者以后要注意咯。关系自己的形象哇~ ^_^

发表留言