| usezs.asp和top100.asp里面修改的内容 |
|
| usezs.asp和top100.asp里面修改的内容 |
|
| |
|
先声明 全部不是原创 呵呵 都是翻以前贴搞得
另外关于top100.asp的漏洞的补救 感谢斑竹field给我提供的解决方案
呵呵 不过他不会介意我共享的拉
usezs.asp 这个漏洞已经很多人知道了 我们这边一个网把的都会利用
解决办法
在这个asp里面找到
if instr(accountname,"")<>0 then response.end
if instr(accountname,"=")<>0 then response.end
if instr(accountname,"%")<>0 then response.end
if instr(accountname,"&")<>0 then response.end
后面添加
if instr(password,"")<>0 then response.end
if instr(password,"=")<>0 then response.end
if instr(password,"%")<>0 then response.end
if instr(password,"&")<>0 then response.end
完整的是
if instr(accountname,"")<>0 then response.end-----------------对账号的判断
if instr(accountname,"=")<>0 then response.end
if instr(accountname,"%")<>0 then response.end
if instr(accountname,"&")<>0 then response.end
if instr(password,"")<>0 then response.end---------------------------对密码的判断
if instr(password,"=")<>0 then response.end----------------------通常是没有对密码判断的
if instr(password,"%")<>0 then response.end
if instr(password,"&")<>0 then response.end
-----------------------------------------------------------
top100.asp的漏洞
漏洞是没有对job和sx的判断
在你的top100.asp前面加入
<%
set rs=server.createobject("adodb.recordset")
job=request("job")
sx=request("sx")
hk=0
if instr(job,"")<>0 then hk=1
if instr(job,"=")<>0 then hk=1
if instr(job,"%")<>0 then hk=1
if len(job)>2 then hk=1
if instr(sx,"")<>0 then hk=1
if instr(sx,"=")<>0 then hk=1
if instr(sx,"%")<>0 then hk=1
if len(sx)>9 then hk=1
if hk=1 then
response.write "<script language=javascript>alert(\n\n请不要尝试任何入侵方式!);history.back()</script>"
response.end
end if
%>
ok了
|
 |
频道声明:本频道的文章除部分特别声明禁止转载的专稿外,可以自由转载.但请务必注明出出处和原始作者 文章版权归本频道与文章作者所有.对于被频道转载文章的个人和网站,我们表示深深的谢意。
| 原始作者:佚名 |
录入时间:2007-3-31 3:57:26 |
| 信息来源:不详 |
投稿信箱:itqoo@126.com |
|
|
 |
|
|
| 教程录入:itqoo 责任编辑:itqoo |
|
上一个教程: GM设置权限以及相关的命令
下一个教程: 注册成功无法创立人物 |
| 【字体:小 大】【发表评论】【加入收藏】【告诉好友】【打印此文】【关闭窗口】 |
用户登录 
新用户注册 
网友评论:(只显示最新10条。评论内容只代表网友观点,与本站立场无关!) 