Direkomendasikan: Kerentanan Parse Terkait dengan EWEDITOR WEB EDITOR Pertama, beberapa karakteristik default editor diperkenalkan: login default admin_login.asp database default db/ewewebeditor.mdb admin akun admin admin atau admin888 pencarian inurl: eweditor setidaknya ribuan situs dengan karakteristik default. Jadi coba latar belakang default http://www.xxx.com.cn/admin/eweb
Saat ini, banyak situs web menggunakan metode menghasilkan halaman statis, karena kecepatan akses akan ditingkatkan (tingkat pemanfaatan CPU sisi server sangat rendah), dan juga mudah dimasukkan oleh mesin pencari. Namun, satu masalah yang dihasilkannya adalah Anda membutuhkan ruang yang cukup untuk menyimpan halaman statis ini. Jika ruang Anda tidak terlalu kaya dan Anda ingin dimasukkan oleh mesin pencari, Anda benar -benar dapat menggunakan metode pseudostatik. Misalnya, jalur showarticle.asp? ID1 = 1 & ID2 = 2 dapat dikonversi menjadi showartikel/? 1-2.htm (tentu saja dapat dikonversi ke bentuk lain). Metode spesifiknya adalah sebagai berikut:
Persiapan: Buat file index.asp, folder showarticle, dan buat file index.asp (/index.asp, /showarticle, /showarticle/index.asp) di folder showarticle.
<Html><head>
<iteme> =========== Index.asp ========== Tampilkan File Daftar Artikel </title>
</head>
<body>
<%
'Kode panggilan database, dihilangkan di sini
%>
<li> <a href = showarticle/? <%= rs (id1)%>-<%= rs (id2)%>. htm> <%= rs (judul)%> </a> </li>
</body>
</html>
<Html><head>
<iteme> ======= Showarticle/index.asp =========== Showarticle/index.asp ====== Tampilkan file konten artikel </iteme>
</head>
<body>
<%
Redup value1, value2, id1, id2
value1 = ganti (request.serverVariable (query_string) ,. htm,) 'Dapatkan parameter berikut
value2 = split (value1,-) 'Saring parameter untuk mendapatkan nilai ID1 dan ID2
id1 = value2 (0)
id2 = value2 (1)
'Selanjutnya hubungi database dan tampilkan konten, seperti ASP dinamis
%>
</body>
</html>
Analisis Prinsip: Pertama, gunakan permintaan.ServerVariable (query_string) untuk mendapatkan parameter setelahnya?, Seperti showarticle/? 1-2.htm untuk menerima 1-2.htm, dan kemudian memfilter 1-2.htm. Parameter yang perlu kita peroleh adalah 1 dan 2. Selanjutnya, Cari 1 dan 2 di database, seperti ASP dinamis.
Bagikan: Menafsirkan Kode Serangan Injeksi Anti-SQL Universal dalam Program ASP Permintaan SQL Injection General HTTP tidak lebih dari mendapatkan dan memposting, jadi selama kami memfilter karakter ilegal dalam informasi parameter semua posting atau mendapatkan permintaan dalam file, kami dapat mencegah serangan injeksi SQL. Permintaan GET yang diteruskan ke ASP.dll oleh IIS adalah dalam bentuk string. Ketika diteruskan ke data.