|
部落改版,论坛模式更改,偶也就相关asp+access的组合发表个人见解,请各位指教!
1、是管理员登陆时的密码校验,如输入1’or’1’=’1等就可直接进入管理员页面。虽说这是个老漏洞,但现在有不少asp网站忽略这个问题,只要把“’”用别的符号代替即可;
2、对于参数过滤不严而导致的跨表查询,如x.asp?id=2 and 1=1,偶们可以在漏洞页面加入如下代码:
<%
dim zeta
zeta=request("id")
if isnumeric(zeta)=0 or zeta="" then
response.write"oh my god!! there's a hack!!"
response.end
end if
%>
3、session认证不得不说是个对付cookie伪造的好方法,而且可严格根据用户的级别使用户进入相应页面,具体可参照动网的后台验证代码
(代续) | 
发表于 2004-8-2 08:55:43
