理工网站的重大漏洞问题

mchen · 发表于 2006-5-5 09:42:44

进入理工研究生主页,点击"在线新闻管理"
然后在出现的登陆界面上填入:
用户名： 'or''='

密码： 'or''='

就能进入系统.
此漏洞很早就出现了,但解决方法很简单.
如:
只要过滤掉’这些特殊符号就可以了。

比如密码字段为password就这样过滤下

password=replace(trim(request.form("password")),"'","''")

以上代码在asp程序中修改.

希望理工老师尽快解决这个问题.

kenneth · 发表于 2006-5-5 11:51:55

你是怎么发现的啊

godfriend · 发表于 2006-5-5 13:28:50

哈哈,我们可以随便发新闻

godfriend · 发表于 2006-5-5 13:34:09

可是利用'or''='登陆后,修改密码,相当于添加了用户,用新的用户登陆怎么办?我就弄了个用户

godfriend · 发表于 2006-5-5 13:37:13

我刚发了个新闻,然后怕找我麻烦,又删除了

blaze · 发表于 2006-5-5 16:41:17

哥么，强人，我得赶快汇报给老师，嘿嘿

landagen · 发表于 2006-5-5 16:50:56

楼主火星来的?

mchen · 发表于 2006-5-5 17:00:50

这个漏洞很早就有了,不过现在已经很少有asp系统中存在这个了。兄弟们别乱在网上改了。要是你们学校领导怪罪下来，我可没责任啊，我只是指出这个漏洞。期望理工的老师赶快修复。呵呵

liko · 发表于 2006-9-13 12:07:36

学校的网络管理人员，寒一个～～

空山狂客 · 发表于 2006-9-13 19:54:01

LZ捅大篓子了一会去试试

执迷不悟 · 发表于 2006-9-18 07:37:07

做人要厚道撒,别乱搞哈

waren112 · 发表于 2006-10-14 07:37:17

地球很危险的，楼主赶紧回火星去吧

imf33 · 发表于 2006-10-16 21:14:57

david07 · 发表于 2006-10-16 22:06:36

真是的！！！！！

kibaa · 发表于 2006-10-20 19:44:32

大大大........大漏洞！
学校这方面真差！

		自动登录	找回密码
密码			注册(开放注册)

长春理工大学论坛

理工网站的重大漏洞问题

谁又把这帖子给顶上来的？〉