收录日期:2018/12/13 08:14:55 时间:2016/05/21 14:12:49 标签:ASP.NET
网址:http://wdf.inows.com

有人曾经破解,使用“阿缸”这个用户名登陆,我不知道他为什么可以使用我的用户名登陆,请高手利用ASP.Net的漏洞利用“阿缸”这个用户名进行登录并留言。
然后请告诉我究竟是什么原因可以破解,谢谢!
windows都有漏洞!
破解的可能行有多种啊:
1.猜密码
2.暴力破解密码;
3.Windows漏洞
4.IIS漏洞
5.SQL Server漏洞
6.留言本程序本身漏洞;
...............
sql="select * from reg where username='"+user_name.Text+"' and pwd='"+pwd.Text+"'";
之前要判断吧~
username       阿缸
password::     19781014
网址改为:http://wdf.inows.com/guestbook
sql语句如果用户名和密码判断一起判断那么可以可以输入用户名后,密码输入一个sql语句就进入了,黑客书上写的有
mythutest,你是怎么找到我的密码的?请告诉我啊!
welcome to here 
csdn is very good
破解的可能行有多种啊:
1.猜密码
2.暴力破解密码;
3.Windows漏洞
4.IIS漏洞
5.SQL Server漏洞
6.留言本程序本身漏洞;

up
你的数据库是access的吧,判断是否是管理员是靠用户名是否为阿缸,密码我用[' or '],中括号里的就可以进来进行管理留言了。
好象这样的登陆随便的密码都可以登陆。
密码要过滤一些字符比如:'
否则:sql="select * from uers where username='"+user_name.Text+"' and pwd='"+pwd.Text+"'";
如果 pwd='' or 1=1 那么sql会变的无效,记不太清了,好象是这样。
是啊我就用这个进去了。
没有处理好'的问题,还是建议不要写成sql="select * from uers where username='"+user_name.Text+"' and pwd='"+pwd.Text+"'";


sql="select * from uers where username=@a and pwd=@b;
cmd.Paramters("@",……)

这种
我的用户密码都是先对密码进行转换才比较的
谢谢各位兄弟的支持,散分散分!

VC 用MFC类作成的DLL,在VB中的应用 那里有Foxbase1.0/2.0下载,我有个小兄弟要过2级,要我教他 如何在javascript中执行onunload事件? 谁会实现通过自己定制的对话框来编辑自己写的VCL?(十万火急) 在mudos中看到如下函数声明,请问是什么意思,请详述 Struct 疑问? 任务栏上的字怎么改? 哈哈,连这个都弄上了,支持!!! 多了个什么信誉分,却又不说请楚。 试验一下 像QQ一样,一有消息,系统托盘区一闪一闪的,如何做的? 请帮忙选购一台显示器 我是第一个进入新论坛,请跟铁!!!!!!!!!! 关于时间格式输入的问题! 请问oracle 9i的安装后的密码问题 这种变量怎么申请? 最初级的问题 有谁知道《我爱背单词2001》的注册码 急用!20分一定给 █▉不使用dx技术,如何使用32asm去截windows图形 ?█▉ 请帮我解决这个很有用的问题 创建MDI子窗体时如何防止闪烁? 既然都发不了给分的帖子,那么还要可用分做什么捏*^_^* 为什么我只能给200分了呀? 学生应该如何学习Delphi? 完了。。。看不了在线名单了*^_^* <<程序员>>2002年第2期中的“VC中异步SOCKET通信程序的编制技术研究”中的源程序哪里有呀?? 如何在DBGRID中设置一个字段为SELECTEDFIELD 好久没来,看起来大不一样,原来CSDN改版了!请问CSDN论坛? csrss.exe是什么文件?作用?