62,046
社区成员
发帖
与我相关
我的任务
分享参数化之后还是有sql注入,求教
protected void Page_Load(object sender, EventArgs e)
{
if (!IsPostBack)
{
int SSN = Convert.ToInt32(Request.QueryString["id"]);
SqlCommand cmd =new SqlCommand("SELECT * FROM teachers WHERE id = @uid");
SqlParameter param = new SqlParameter("uid", SqlDbType.Int);
param.Value = SSN;
cmd.Parameters.Add(param);
DataBase db = new DataBase();
SqlDataAdapter sda = new SqlDataAdapter();
sda.SelectCommand = cmd;
DataTable dt = new DataTable();
dt = db.getDT(cmd);
。。。。。。。。各种label
}
}
{
if (!IsPostBack)
{
int SSN = Convert.ToInt32(Request.QueryString["id"]);
SqlCommand cmd =new SqlCommand("SELECT * FROM teachers WHERE id = @uid");
SqlParameter param = new SqlParameter("uid", SqlDbType.Int);
param.Value = SSN;
cmd.Parameters.Add(param);
DataBase db = new DataBase();
SqlDataAdapter sda = new SqlDataAdapter();
sda.SelectCommand = cmd;
DataTable dt = new DataTable();
dt = db.getDT(cmd);
。。。。。。。。各种label
}
}
...全文
请发表友善的回复…
发表回复
zoe2019 2016-04-14
- 打赏
- 举报
每次sqlmap注入测试就超时,然后网站打不开,又登陆服务器重启网站,如此往复,累。。。
加油馒头 2016-04-14
- 打赏
- 举报
这个网站不是我做的,好像没有发布,每次都是从服务器上把源文件整个复制下来改好又替换上去。我把改完的Detail.aspx.cscs文件替换服务器的再测试还是一样[/quote]
在那条语句后面加日志功能,打出来看下
感觉你没更新成功。。[/quote]
我把服务器上该页面的内容都删了,只留了一个空文件detail.aspx.cs,结果测试sql注入依然能显示我的数据库名称和管理员名字等,我真是震惊了[/quote]
在执行语句的地方,把语句打出来,被只测试,看到打出来执行的语句是什么?
不可能是参数化的语句
足球中国 2016-04-14
- 打赏
- 举报
之前听说过一个工具。只要SQLSERVER的数据库只要开启BROWER服务。开启那个软件就会得到那台服务器的管理员控制权。
不知真假。
只是听说未曾见过。
zoe2019 2016-04-14
- 打赏
- 举报
最新进展:sqlmap注入测试总是超时
[17:19:43] [CRITICAL] connection timed out to the target URL or proxy. sqlmap is going to retry the request(s)
zoe2019 2016-04-14
- 打赏
- 举报
我也觉得我的参数化代码依然有问题,但是实在看不出来,能不能麻烦您看一下?
这是我改过的代码,您看一下写的对吗?
protected void Page_Load(object sender, EventArgs e)
{
if (!IsPostBack)
{
int SSN = Convert.ToInt32(Request.QueryString["id"]);
if ( SSN < 50)
{
SqlCommand cmd = new SqlCommand("SELECT * FROM teachers WHERE id = @uid");
SqlParameter param = new SqlParameter("uid", SqlDbType.Int);
param.Value = SSN;
cmd.Parameters.Add(param);
DataBase db = new DataBase();
DataTable dt = new DataTable();
dt = db.getDT(cmd);
Label1.Text = dt.Rows[0]["tname"].ToString().Trim();
Label2.Text = dt.Rows[0]["zhich"].ToString().Trim();
Label3.Text = dt.Rows[0]["classes"].ToString().Trim();
Label4.Text = " " + dt.Rows[0]["huojiang"].ToString().Trim();
Label5.Text = dt.Rows[0]["contents"].ToString().Trim();
Image1.ImageUrl = "admin/upload/" + dt.Rows[0]["pic"].ToString().Trim();
this.Title = Label2.Text.Trim() + "--" + Label1.Text.Trim() + "详细内容";
Label6.Text = "教师:" + Label1.Text.Trim() + "信息";
}
}
}
LevinCVT 2016-04-14
- 打赏
- 举报
参数式,不可能有注入。你被注入,只能说你还有SQL拼接没处理好。一个最简单 办法:
无论什么东西,拼接前,替换掉单引号。Replace("'","''")
zoe2019 2016-04-14
- 打赏
- 举报
这个网站不是我做的,好像没有发布,每次都是从服务器上把源文件整个复制下来改好又替换上去。我把改完的Detail.aspx.cscs文件替换服务器的再测试还是一样[/quote]
在那条语句后面加日志功能,打出来看下
感觉你没更新成功。。[/quote]
我把服务器上该页面的内容都删了,只留了一个空文件detail.aspx.cs,结果测试sql注入依然能显示我的数据库名称和管理员名字等,我真是震惊了[/quote]
在执行语句的地方,把语句打出来,被只测试,看到打出来执行的语句是什么?
不可能是参数化的语句[/quote]
不好意思,不太懂,实在sqlmap里面操作吗/?不太懂?
zoe2019 2016-04-14
- 打赏
- 举报
这是我改过的代码,您看一下写的对吗?
protected void Page_Load(object sender, EventArgs e)
{
if (!IsPostBack)
{
int SSN = Convert.ToInt32(Request.QueryString["id"]);
if ( SSN < 50)
{
SqlCommand cmd = new SqlCommand("SELECT * FROM teachers WHERE id = @uid");
SqlParameter param = new SqlParameter("uid", SqlDbType.Int);
param.Value = SSN;
cmd.Parameters.Add(param);
DataBase db = new DataBase();
//SqlDataAdapter sda = new SqlDataAdapter();
//sda.SelectCommand = cmd;
DataTable dt = new DataTable();
dt = db.getDT(cmd);
Label1.Text = dt.Rows[0]["tname"].ToString().Trim();
Label2.Text = dt.Rows[0]["zhich"].ToString().Trim();
Label3.Text = dt.Rows[0]["classes"].ToString().Trim();
Label4.Text = " " + dt.Rows[0]["huojiang"].ToString().Trim();
Label5.Text = dt.Rows[0]["contents"].ToString().Trim();
Image1.ImageUrl = "admin/upload/" + dt.Rows[0]["pic"].ToString().Trim();
this.Title = Label2.Text.Trim() + "--" + Label1.Text.Trim() + "详细内容";
Label6.Text = "教师:" + Label1.Text.Trim() + "信息";
}
}
}
背背山上的小和尚 2016-04-13
- 打赏
- 举报
ASP程序的SQL注入,也应该差不多的,参数化了,在做一个关键字处理试试呢?
zoe2019 2016-04-12
- 打赏
- 举报
?
背背山上的小和尚 2016-04-12
- 打赏
- 举报
抱歉实在初学不太懂,但是上一个管理员交给我以后好像说没编译就是源文件,刚刚看了服务器上都是asp文件,没有dll
另外,我的参数化代码不知道写得对不对[/quote]
抱歉,没注意看清楚,那你这个是ASP程序?注入的 是查询代码吗?
以专业开发人员为伍 2016-04-12
- 打赏
- 举报
这开发整天换各种玩意儿试一试,没有稳定核心的东西,不靠谱啊
zoe2019 2016-04-12
- 打赏
- 举报
抱歉实在初学不太懂,但是上一个管理员交给我以后好像说没编译就是源文件,刚刚看了服务器上都是asp文件,没有dll
另外,我的参数化代码不知道写得对不对[/quote]
抱歉,没注意看清楚,那你这个是ASP程序?注入的 是查询代码吗?[/quote]
asp的网站,没有发布直接用的源代码;诸如测试链接.......detail.aspx?id=10
zoe2019 2016-04-12
- 打赏
- 举报
这个网站不是我做的,好像没有发布,每次都是从服务器上把源文件整个复制下来改好又替换上去。我把改完的Detail.aspx.cscs文件替换服务器的再测试还是一样[/quote]
在那条语句后面加日志功能,打出来看下
感觉你没更新成功。。[/quote]
我把服务器上该页面的内容都删了,只留了一个空文件detail.aspx.cs,结果测试sql注入依然能显示我的数据库名称和管理员名字等,我真是震惊了
加油馒头 2016-04-12
- 打赏
- 举报
这个网站不是我做的,好像没有发布,每次都是从服务器上把源文件整个复制下来改好又替换上去。我把改完的Detail.aspx.cscs文件替换服务器的再测试还是一样[/quote]
在那条语句后面加日志功能,打出来看下
感觉你没更新成功。。
江南小鱼 2016-04-11
- 打赏
- 举报
撸主应该是修改了本地代码,却一直拿发布的页面测试~
LongRui888 2016-04-11
- 打赏
- 举报
不是,我是说这两句都检测出sql注入了,改前改后都一样[/quote]
另外,你在后台,开启sql profiler,监控一下sql语句,看看,经过注入之后,sql是什么样子的
娃都会打酱油了 2016-04-11
- 打赏
- 举报
……
aspx生成后是dll,你要替换dll,不是替换aspx
你替换aspx.cs文件,测试时检查的还是原来的代码……
你把你改后的代码生成下,然后将bin目录下的dll复制到服务器同名的bin目录下,话说不能sqlmap不能测试本机么?你本机VS调试下,然后你的sqlmap直接测你本地不行吗?
zoe2019 2016-04-11
- 打赏
- 举报
这个网站不是我做的,好像没有发布,每次都是从服务器上把源文件整个复制下来改好又替换上去。我把改完的Detail.aspx.cscs文件替换服务器的再测试还是一样
娃都会打酱油了 2016-04-11
- 打赏
- 举报
好吧,但你测试的是你改过之后的页面么?你有重新生成发布过么?不要你一直在测试你之前的有注入问题的代码……
加载更多回复(29)
