收录日期:2019/03/27 11:19:28 时间:2016/05/21 14:12:49 标签:ASP.NET
网址:http://wdf.inows.com

有人曾经破解,使用“阿缸”这个用户名登陆,我不知道他为什么可以使用我的用户名登陆,请高手利用ASP.Net的漏洞利用“阿缸”这个用户名进行登录并留言。
然后请告诉我究竟是什么原因可以破解,谢谢!
windows都有漏洞!
破解的可能行有多种啊:
1.猜密码
2.暴力破解密码;
3.Windows漏洞
4.IIS漏洞
5.SQL Server漏洞
6.留言本程序本身漏洞;
...............
sql="select * from reg where username='"+user_name.Text+"' and pwd='"+pwd.Text+"'";
之前要判断吧~
username       阿缸
password::     19781014
网址改为:http://wdf.inows.com/guestbook
sql语句如果用户名和密码判断一起判断那么可以可以输入用户名后,密码输入一个sql语句就进入了,黑客书上写的有
mythutest,你是怎么找到我的密码的?请告诉我啊!
welcome to here 
csdn is very good
破解的可能行有多种啊:
1.猜密码
2.暴力破解密码;
3.Windows漏洞
4.IIS漏洞
5.SQL Server漏洞
6.留言本程序本身漏洞;

up
你的数据库是access的吧,判断是否是管理员是靠用户名是否为阿缸,密码我用[' or '],中括号里的就可以进来进行管理留言了。
好象这样的登陆随便的密码都可以登陆。
密码要过滤一些字符比如:'
否则:sql="select * from uers where username='"+user_name.Text+"' and pwd='"+pwd.Text+"'";
如果 pwd='' or 1=1 那么sql会变的无效,记不太清了,好象是这样。
是啊我就用这个进去了。
没有处理好'的问题,还是建议不要写成sql="select * from uers where username='"+user_name.Text+"' and pwd='"+pwd.Text+"'";


sql="select * from uers where username=@a and pwd=@b;
cmd.Paramters("@",……)

这种
我的用户密码都是先对密码进行转换才比较的
谢谢各位兄弟的支持,散分散分!

大家好。请问一个WEB未来的问题。 sql中的问题 procedure Inc(var X [ ; N: Longint ] );语法问题 网络连接时断时续,怎么办 MouseHook 的问题 专业级高速ASP CGI空间 怎么在声明一个map的时候同时进行内容的初始化? 如何一次性更新多条记录? C++标准程序库在VC/MFC中派得上用场吗? 专业级高速ASP CGI空间 菜级问题,各位指教了 如何在关闭本程序后,再调用本程序,使其重新运行? xml+xsl 自动生成 二叉树 如何建立自己的汉字库? 我该怎么办? 如何在学习一门语言的语法及基础之后,真正投入开发一个实用的小软件呢? 嵌套在html里的c#代码可否调用后台代码(cs文件)的函数或变量值!----急!! 诚请研究生毕业的同学来谈谈 哪里有关于framebuffer编程的资料啊?? 如何得到本地的DNS Server的IP地址? 急问这个关于vc无法顺利安装的问题! scanf(\"%d%d\",$a,$b)代表什么意思???? 急,加急,请大家帮我出出注意!! 请推荐几个好的Bug Tracking软件! 出差回来,很累,现在散分! 高手请回答? 程序发布时需要哪些连接文件,请说明,越详细越好 如何给Listview添加记录 这个问题怎么办? 可以上YahooMessager却无法浏览网页