◎欢迎参与讨论,请在这里发表您的看法、交流您的观点。
前几天有个朋友说他的网站老被黑 叫我帮他看下 经过分析出了如下的解决方案
解决方案.txt
1.数据库改为其他格式 比如#aaa423#$@aaa.asp data的路径可改可不改
2.admin/login.asp 你的内容 查找64行adminname = trim(request.form("adminname"))
password = trim(request.form("password"))
改为adminname = trim(replace(request.form("adminname"),"'","''"))
password = trim(replace(request.form("password"),"'","''"))
3.admin/Hu_up_file.asp hu_up_load.asp文件删掉
4.Upfiles/proimages/1.asp文件夹清理掉 潘美辰.jpg也清理掉
这个网站的漏洞还不是一般的多 但是咱只要分析最严重的就行了
在admin/login.asp内有这样的语句
dim adminname,password,vcode,chk
adminname = trim(request.form("adminname"))
password = trim(request.form("password"))。。。。。省略部分。。。。
set rs=server.CreateObject("adodb.recordset")
rs.open "select * from Hu_admin where adminname = '"&adminname&"' and password = '"&Md5(password)&"'",conn,1,3 漏洞已经很明显就显示出来了 admin' or 'a'='a 这样就直接绕过 进入后台了
修补的办法我在前面已经写出来了
Tags:
2008年10月5日0:58:04 发布:LiangSai | 分类:编程技术 | 评论:1 | 引用:0 | 浏览:
- 相关文章:
