长春理工大学论坛
标题:
理工网站的重大漏洞问题
[打印本页]
作者:
mchen
时间:
2006-5-5 09:42
标题:
理工网站的重大漏洞问题
进入理工研究生主页,点击"在线新闻管理"
然后在出现的登陆界面上填入:
用户名: 'or''='
密码: 'or''='
就能进入系统.
此漏洞很早就出现了,但解决方法很简单.
如:
只要过滤掉’这些特殊符号就可以了。
比如密码字段为password就这样过滤下
password=replace(trim(request.form("password")),"'","''")
以上代码在asp程序中修改.
希望理工老师尽快解决这个问题.
作者:
kenneth
时间:
2006-5-5 11:51
你是怎么发现的啊
作者:
godfriend
时间:
2006-5-5 13:28
哈哈,我们可以随便发新闻
作者:
godfriend
时间:
2006-5-5 13:34
可是利用'or''='登陆后,修改密码,相当于添加了用户,用新的用户登陆怎么办?我就弄了个用户
作者:
godfriend
时间:
2006-5-5 13:37
我刚发了个新闻,然后怕找我麻烦,又删除了
作者:
blaze
时间:
2006-5-5 16:41
哥么,强人,我得赶快汇报给老师,嘿嘿
作者:
landagen
时间:
2006-5-5 16:50
楼主火星来的?
作者:
mchen
时间:
2006-5-5 17:00
这个漏洞很早就有了,不过现在已经很少有asp系统中存在这个了。兄弟们别乱在网上改了。要是你们学校领导怪罪下来,我可没责任啊,我只是指出这个漏洞。期望理工的老师赶快修复。呵呵
作者:
liko
时间:
2006-9-13 12:07
学校的网络管理人员,寒一个~~
作者:
空山狂客
时间:
2006-9-13 19:54
LZ捅大篓子了 一会去试试
作者:
执迷不悟
时间:
2006-9-18 07:37
做人要厚道撒,别乱搞哈
作者:
waren112
时间:
2006-10-14 07:37
地球很危险的,楼主赶紧回火星去吧
作者:
imf33
时间:
2006-10-16 21:14
强
作者:
david07
时间:
2006-10-16 22:06
标题:
谁又把这帖子给顶上来的?〉
真是的!!!!!
作者:
kibaa
时间:
2006-10-20 19:44
大大大........大漏洞!
学校这方面真差!
作者:
血族
时间:
2006-10-22 16:43
这个漏洞太老了吧 好象我初中的时候就有了
而且好象当初还有一个类似的漏洞
欢迎光临 长春理工大学论坛 (http://cust.myubbs.com/)
Powered by Discuz! X3.3