社区
ASP
帖子详情
网站被“黑客”光顾了,请问他是如何做的
danjingwu
2005-01-18 12:13:22
本人最近开发的一个网站http://www.yyfc.com被“黑客”光顾了,
修改了页面的内容,
我想问各位帮我看看,他是如何做到的
本站有上传功能,但我有检查上传文件的扩展名啊
他只能上传.mp3,.wma等格式
请找出原因的朋友回贴或是发邮件到feiyu027@sina.com
...全文
238
14
打赏
收藏
网站被“黑客”光顾了,请问他是如何做的
本人最近开发的一个网站http://www.yyfc.com被“黑客”光顾了, 修改了页面的内容, 我想问各位帮我看看,他是如何做到的 本站有上传功能,但我有检查上传文件的扩展名啊 他只能上传.mp3,.wma等格式 请找出原因的朋友回贴或是发邮件到feiyu027@sina.com
复制链接
扫一扫
分享
转发到动态
举报
写回复
配置赞助广告
用AI写文章
14 条
回复
切换为时间正序
请发表友善的回复…
发表回复
打赏红包
danjingwu
2005-01-18
打赏
举报
回复
那个服务器上面只有我这一个站,我们公司有自己的服务器
whb147
2005-01-18
打赏
举报
回复
有时候,不是你的站点的问题,还是同一个服务器上的另外站点的问题,那样,你照样倒霉,呵呵
jarraytan
2005-01-18
打赏
举报
回复
一个程序扩展名改成mp3了它就会变成一首歌么?
methuselah
2005-01-18
打赏
举报
回复
你的网站检测住入了吗?
cmlcm
2005-01-18
打赏
举报
回复
他可以拿到你网站后台管理员的密码,然后传一些文件上去执行,至于存储过程,里面是有一个xp_cmdshell可以利用的,不过需要SA的权限
cuipi2003
2005-01-18
打赏
举报
回复
用x-sacn扫描一下看看你有多少漏洞,然后看看的程序是否存在sql注入的漏洞
danjingwu
2005-01-18
打赏
举报
回复
to:cmlcm(臨兵鬦者皆陣煭在前╭∩╮︶︿︶╭∩╮)
你说的那一页我看了一些
我是按classid传进来的值再select case一个字符传info的值
然后再按这个info的值才寻找数据库的记录
应该不可以SQL注入吧??
但我还是根据你说的,做了classid的判断,
请问你还看出哪一页不行啊??
to:wzhiyuan(我是谁)
我数据库和页面是放在不同服务器上的
可他现在修改的是放页面的服务器上的文件
这样他拿到数据库的用户名和密码怎么用存储过程去查操作系统的用户名和密码呢?
cmlcm
2005-01-18
打赏
举报
回复
楼上那样过滤也是不完整的,你的单引号没有包括2进制码
cmlcm
2005-01-18
打赏
举报
回复
http://www.yyfc.com/info.asp?classid=1
这个页面也存在漏洞
AMinfo
2005-01-18
打赏
举报
回复
TO:danjingwu (寒夜孤风,我是菜鸟^_^)
由于你有使用论坛,这是很要命的
另外,你有没有加入防SQL注入,建议用以下代码:
<%'post过滤sql注入代防范及HTML防护开始
function nosql(str)
if not isnull(str) then
str=trim(str)
str=replace(str,";",";") '分号
str=replace(str,"'","'") '单引号
str=replace(str,"""",""") '双引号
str=replace(str,"chr(9)"," ") '空格
str=replace(str,"chr(10)","<br>") '回车
str=replace(str,"chr(13)","<br>") '回车
str=replace(str,"chr(32)"," ") '空格
str=replace(str,"chr(34)",""") '双引号
str=replace(str,"chr(39)","'") '单引号
str=Replace(str, "script", "script")'jscript
str=replace(str,"<","<") '左<
str=replace(str,">",">") '右>
str=replace(str,"(","(") '左(
str=replace(str,")",")") '右)
str=replace(str,"--","--") 'SQL注释符
nosql=str
end if
end function%>
wzhiyuan
2005-01-18
打赏
举报
回复
估计是SQL注入
流程可能是
1,用注入SQL获得SQL的用户名和密码。
2,执行系统存储过程获得操作系统用户名和密码。
之后就为所欲为了。
xiaozaoqiu
2005-01-18
打赏
举报
回复
有意思,也许是内贼?
cmlcm
2005-01-18
打赏
举报
回复
经过测试,你的网站的确存在这个漏洞,检查一下你自己的程序吧
cmlcm
2005-01-18
打赏
举报
回复
你看看管理员登陆的日志记录,看是不是管理员密码被窃取了,如果是这样,那么有可能是你的程序有SQL注入漏洞,简单的说,就是你没有判断url?id=xx这里面的id的值的类型以及过滤掉特殊字符,那么通过这个漏洞,你的数据库就会完全暴露在攻击者的面前,后果就不用多说了吧
我怀疑我的小
网站
被
黑客
光顾
了
假新闻:中国工行上午被
黑客
光顾
,竟然跟萨达姆有关
中国工行上午被
黑客
光顾
,竟然跟萨达姆有关 百度新闻:中国工行上午被
黑客
光顾
,竟然跟萨达姆有关 被黑地址:...
我的人才
网站
黑客
来
光顾
了
今天突然发现我的丰县人才网(www.fxrczx.com)好像被
黑客
光顾
了! 下面是截图: 现在还没发现其他问题,大概尝试了100多次。 不知道这哥们得到什么信息没有。...
假装自己是
黑客
的装逼
网站
几乎每一部科幻片或者谍战片里都有大家十分熟悉的一些场景,比如一个 Hacker 坐在...现在,除了脑补这些画面,我们还可以在一些模拟的
黑客
网站
上装上漂亮的一 X ,今天我们就一起来看看这些有意思的 Hacker Website。
棋牌游戏平台为什么容易被
黑客
攻击
很多地方棋牌游戏平台,在遭遇
黑客
攻击后,商家基于种种原因不肯报警,而是花钱买“安全”这样一块任人宰割的肥肉,哪个
黑客
不愿意
光顾
呢。手机棋牌游戏开发相对于大型的网游来说,还是要简朴很多,如果遭到
黑客
的...
ASP
28,391
社区成员
357,060
社区内容
发帖
与我相关
我的任务
ASP
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
复制链接
扫一扫
分享
社区描述
ASP即Active Server Pages,是Microsoft公司开发的服务器端脚本环境。
社区管理员
加入社区
获取链接或二维码
近7日
近30日
至今
加载中
查看更多榜单
社区公告
暂无公告
试试用AI创作助手写篇文章吧
+ 用AI写文章