62,046
社区成员
发帖
与我相关
我的任务
分享让人头痛的WEB漏洞攻击,大家帮忙想想是如何被非法操作的,来者有分
很简单的一个页面,就三个输入框.由于把系统帐户跟密码保存在了客户端(由于用AJAX开发,也是大意的结果),
后发现,被利用这个帐户及密码做了某些操作,类似登录和执行存储过程之类的操作!
但是我想知道的是他是如何在得知帐户密码后,利用网页进行非法操作的?
难道可以直接SQL注入?或者利用什么工作直接调用网而里的JS函数?
或者,还是....?
后发现,被利用这个帐户及密码做了某些操作,类似登录和执行存储过程之类的操作!
但是我想知道的是他是如何在得知帐户密码后,利用网页进行非法操作的?
难道可以直接SQL注入?或者利用什么工作直接调用网而里的JS函数?
或者,还是....?
...全文
请发表友善的回复…
发表回复
leo9239339 2010-07-30
- 打赏
- 举报
保存在客户端的账号密码没有加密
或者在传输过程中没有加密 被截包工具看到截获了
或者在传输过程中没有加密 被截包工具看到截获了
gongsun 2010-07-30
- 打赏
- 举报
把系统帐户跟密码保存在了客户端???
如果你只在你家里、或公司的固定电脑操作,那就是熟人了。
----------------------
保存在cookie? ini? txt? xml? 客户端如果不加密的话 人家上了你电脑 一看就知道了。
账户、密码保存cookie,自动登录肯定是要加密的,跟ajax没有关系。
如果你只在你家里、或公司的固定电脑操作,那就是熟人了。
----------------------
保存在cookie? ini? txt? xml? 客户端如果不加密的话 人家上了你电脑 一看就知道了。
账户、密码保存cookie,自动登录肯定是要加密的,跟ajax没有关系。
諾临風 2010-07-29
- 打赏
- 举报
本身的逻辑问题,不要解释,呵!
像博客园一样,回复的操作,我们怎么改都行,原理一样滴!
像博客园一样,回复的操作,我们怎么改都行,原理一样滴!
