我喜欢黑夜,喜欢网络安全,孤独寂寞的黑夜里,我只需要,一包烟,一台笔记本...
更多
首  页>>网络攻防>>使用弱密码,万能密码登陆网站后台,白试白爽
使用弱密码,万能密码登陆网站后台,白试白爽
17680 阅
1 推荐
2 评论

最进看了N个站点,登了N个后台

每当在前台奋力寻找注入的时候,搞了半天,找到账号密码

登陆后台,每每想起让我伤心啊

为啥呢,因为总是弱密码,验证不严格

你说干嘛花大力气在前面找什么注入啊

浪费时间,浪费青春啊,伤不起

直接找到后台,试试常用的弱密码

admin admin

admin 123456

admin admin888

admin admin123

admin admin1

弱密码不行,万能密码

asp:

账号:'or'='or'

密码:任意

php

aspx

jsp

账号:admin' or 'a'='a

密码:任意

或则:

账号:任意

密码:admin' or 'a'='a

为什么会出现这种登陆验证不严格呢。

看看:程序代码

1.

一般sql:select * from admin where username='账号' and password=‘密码’

查询到数据集合:list

判断list是不是为空

if(list!=null&&list.size()>0){

登陆成功

写session或则cookie

}

//关键漏洞:没有验证用户传递的账号和密码,是否和数据库查询出来的账号密码进行比对

2. 一般sql:select * from admin where username='账号' and password=‘密码’

查询到数据集合:list

判断list是不是为空

if(list!=null&&list.size>0){

//很多站点这里也只验证了用户名是否正确

if(用户传递的账号==数据库查询到账号){

登陆成功

写session或则cookie

}

}

//关键漏洞:只验证了账号名,没有验证用户传递的密码,是否和数据库查询出来的密码进行比对

//警告各位Coder:这种登陆验证一定要进行账户名和密码都要验证比对,不要只判断有无数据存在

白试白爽

已经有 ( 2 ) 位网友对此发表了自己的看法,你也评一评吧! 此文不错,我要推荐-->    推 荐
  • 2楼 发表于:2017-10-01 00:31:43        回复
    '
  • 1楼 发表于:2013-08-05 10:44:10        回复
    顶顶顶顶
欢迎参与讨论,请在这里发表您的看法、交流您的观点@禁止各种脚本

  • 点击Top
  • 推荐Top
  • 评论Top
更 多>>
本站采用Java语言开发,Spring框架,欢迎朋友们提意见。重新对页面进行布局,修改了程序,方便开源使用,由于本人美工真的不行 ,很少用背景图片,页面基本都用背景色...
主题:无色无味 | 网站地图|
Copyright (c) 2012-2013 www.shack2.org All Rights Reserved. | 空ICP备111111111号 | 程序设计: shack2 Powered by SJBlog v1.0 联系QQ:1341413415