Recommandé: Parse Vulnérabilités liées à l'éditeur Web d'Ewebeditor Tout d'abord, certaines caractéristiques par défaut de l'éditeur sont introduites: par défaut Login admin_login.asp Base de données par défaut DB / ewewebeditor.mdb Compte par défaut Admin Admin ou admin888 Rechercher inURL: Ewebeditor au moins des milliers de sites avec des caractéristiques par défaut. Essayez donc l'arrière-plan par défaut http://www.xxx.com.cn/admin/eweb
À l'heure actuelle, de nombreux sites Web utilisent la méthode de génération de pages statiques, car la vitesse d'accès sera améliorée (le taux d'utilisation du processeur côté serveur est très faible), et il est également facile d'être inclus par les moteurs de recherche. Cependant, un problème que cela apporte est que vous avez besoin de suffisamment d'espace pour stocker ces pages statiques. Si votre espace n'est pas très riche et que vous souhaitez être inclus par les moteurs de recherche, vous pouvez réellement utiliser une méthode pseudostatique. Par exemple, le chemin de showarticle.asp? Id1 = 1 & id2 = 2 peut être converti en showarticle /? 1-2.htm (bien sûr, il peut être converti en autres formes). La méthode spécifique est la suivante:
Préparation: Créer un fichier index.asp, le dossier showarticle et créer un fichier index.asp (/index.asp, / showarticle, /showarticle/index.asp) dans le dossier showarticle.
<html><adal>
<Title> ========== INDEX.ASP ========= Afficher le fichier de liste d'articles </TITME>
</ head>
<body>
<%
«Code d'appel de base de données, omis ici
%>
<li> <a href = showarticle /? <% = rs (id1)%> - <% = rs (id2)%>. htm> <% = rs (titre)%> </a> </li>
</docy>
</html>
<html><adal>
<Title> ======= showarticle / index.asp ========= Showarticle / index.asp ===== Afficher le fichier de contenu de l'article </Title>
</ head>
<body>
<%
Dim Value1, Value2, id1, id2
Value1 = remplacer (request.servervariables (query_string),. htm,) 'Obtenez les paramètres suivants
Value2 = Split (valeur1, -) 'Filtrez les paramètres pour obtenir les valeurs d'ID1 et ID2
id1 = valeur2 (0)
id2 = valeur2 (1)
'Appelez ensuite la base de données et affichez le contenu, tout comme ASP dynamique
%>
</docy>
</html>
Analyse de principe: Tout d'abord, utilisez la demande.Servervariables (query_string) pour obtenir les paramètres après ?, tels que showarticle /? 1-2.htm pour recevoir 1-2.htm, puis filtrer 1-2.htm. Les paramètres que nous devons obtenir sont 1 et 2. Ensuite, recherchez 1 et 2 dans la base de données, tout comme ASP dynamique.
Partager: Interprétation du code d'attaque d'injection anti-SQL universel dans les programmes ASP Les demandes HTTP générales de l'injection SQL ne sont rien de plus que l'obtention et la publication, donc tant que nous filtrons les caractères illégaux dans les informations des paramètres de toutes les demandes de poste ou de réception dans le fichier, nous pouvons empêcher les attaques d'injection SQL. La demande de GET transmise à asp.dll par IIS est sous la forme d'une chaîne. Lorsqu'il est adopté à la demande de données.