.入侵菠菜网站今天突然来几个客户竟然都是入侵单 而且入侵的都是菠+菜网站 就拿出其中一个相对于比较简单的案例分享给大家:为防止广告给网站地址敏感词汇都以处理。网站漏洞的发现我们google site一下,看看这个网站的构造。我们留意到一个content/Id/2.html的URL,凭着经验,我估摸这里是伪静态,说不定存在注入漏洞。注入的判断1、加入单引号 提交,结果:如果出现错误提示,则该网站可能就存在注入漏洞。2、数字型判断是否有注入; 语句:and 1=1 ;and 1=2 (经典)、 and 1=1(字符型)结果:分别返回不同的页面,说明存在注入漏洞.分析:and 的意思是“和”如果没有过滤我们的语句,and 1=1就会被代入SQL查询语句进行查询, 如果and前后的两条语句都是真的话就不会出错,但如果前后语句有一个为假的话,程序就会暴错。 也就表明程序有注入漏洞防注入解决办法:1使用or 21 ; or 12来进行判断结果:分别返回不同的页面,说明存在注入漏洞.分析:or注入只要求
