绕过login登陆到网站后台
来源:百度知道 编辑:UC知道 时间:2024/05/31 16:26:00
类似这样的网站后台;
以前看到过这样的文章;好像是 : 'a"="a'
之类的;只是处于好奇;
看看网站后台;
高手能告诉我;
http://www.nsnbearing.cn/admin/Login.asp
很多的网站都没有安全意识;
密码和psw都是admin
处于安全的 考虑;
呵呵;
、、
只是处于对这方面的好奇;
能破解的肯定是高手;
赐教;
呵呵呵
以前看到过这样的文章;好像是 : 'a"="a'
之类的;只是处于好奇;
看看网站后台;
高手能告诉我;
http://www.nsnbearing.cn/admin/Login.asp
很多的网站都没有安全意识;
密码和psw都是admin
处于安全的 考虑;
呵呵;
、、
只是处于对这方面的好奇;
能破解的肯定是高手;
赐教;
呵呵呵
是'or'='or' 不是双引号
一般网站登陆用的sql语句
sql="select * from user where username='"&username&"'and pass='"& pass&'"
代入:
sql="select * from user where username=''or'='or''and pass=''or'='or''"
(注意,or前面和=后面都不是
双引号,而是两个单引号,查询语句里面没有双引号,双引号只是让里面的变量变成字符而已,
我们查询的时候双引号中的变量就被我们提交的数据所代替),好了,现在整句话的意思是:从数
据库的user表中查找的用户名是空(两个单引号之间没东西当然是空了:))或者空等于空。废
话,因为空当然等于空了,所以程序就认为你提交的数据是合法的,于是就放你通过拉and后面
的密码验证都不要了。
可以适当看一下sql注入,或者url传值方面的知识,如果运气好的话你就能...
没有那么容易,你用SQL去试,要不然就是别人账号密码没改的。
难
http://www.nsnbearing.cn/newslist.asp?id=137
随便看了一下...~貌似这个页面可以注入~~~
告诉你吧 只有没有验证码的用"or"="or"说不定可以进去
有验证码的看都别看了~~~
还有 分能给偶不???