理工网站的重大漏洞问题
进入理工研究生主页,点击"在线新闻管理"然后在出现的登陆界面上填入:
用户名: 'or''='
密码: 'or''='
就能进入系统.
此漏洞很早就出现了,但解决方法很简单.
如:
只要过滤掉’这些特殊符号就可以了。
比如密码字段为password就这样过滤下
password=replace(trim(request.form("password")),"'","''")
以上代码在asp程序中修改.
希望理工老师尽快解决这个问题. 你是怎么发现的啊 哈哈,我们可以随便发新闻 可是利用'or''='登陆后,修改密码,相当于添加了用户,用新的用户登陆怎么办?我就弄了个用户:lol 我刚发了个新闻,然后怕找我麻烦,又删除了:L 楼主火星来的? 这个漏洞很早就有了,不过现在已经很少有asp系统中存在这个了。兄弟们别乱在网上改了。要是你们学校领导怪罪下来,我可没责任啊,我只是指出这个漏洞。期望理工的老师赶快修复。呵呵 :L学校的网络管理人员,寒一个~~ 做人要厚道撒,别乱搞哈
页:
[1]