권장 : Ewebeditor 웹 편집기와 관련된 Parse 취약점 먼저 편집기의 기본 특성이 소개됩니다. 기본 로그인 admin_login.asp 기본 데이터베이스 DB/EWEWEBEDITOR.MDB 기본 계정 관리자 암호 관리자 또는 admin888 검색 INURL : eWEBEDITOR 기본 특성을 가진 수천 개의 사이트. 기본 배경 http://www.xxx.com.cn/admin/eweb를 사용해보십시오
현재 많은 웹 사이트는 액세스 속도가 향상되기 때문에 (서버 측 CPU 사용률이 매우 낮으며) 검색 엔진에서도 쉽게 포함 할 수 있기 때문에 정적 페이지를 생성하는 방법을 사용합니다. 그러나 이것이 가져 오는 한 가지 문제는 이러한 정적 페이지를 저장하기에 충분한 공간이 필요하다는 것입니다. 공간이 매우 풍부하지 않고 검색 엔진에 포함되기를 원한다면 실제로 유사성 방법을 사용할 수 있습니다. 예를 들어, showarticle.asp? id1 = 1 & id2 = 2의 경로는 showarticle/? 1-2.htm으로 변환 될 수 있습니다 (물론 다른 형태로 변환 할 수 있음). 특정 방법은 다음과 같습니다.
준비 : 폴더 showarticle에서 파일 index.asp, 폴더 showarticle 및 파일 index.asp ( /index.asp, /showarticle, /showarticle/index.asp)를 작성하십시오.
<html><헤드>
<title> ========== Index.asp ========= 기사 목록 파일 표시 </title>
</head>
<body>
<%
'데이터베이스 호출 코드, 여기에서 생략되었습니다
%>
<li> <a href = showarticle/? <%= rs (id1)%>-<%= rs (id2)%>. htm> <%= rs (title)%> </a> </li>
</body>
</html>
<html><헤드>
<title> ======= showarticle/index.asp ======== ShowArticle/index.asp ====== 기사 내용 파일 표시 </title>
</head>
<body>
<%
dim value1, value2, id1, id2
value1 = replace (request.servariables (query_string) ,. htm,) '다음 매개 변수를 얻으십시오
value2 = split (value1,-) '파라미터를 필터링하여 id1 및 id2의 값을 얻습니다.
id1 = value2 (0)
id2 = value2 (1)
'다음으로 Dynamic ASP와 마찬가지로 데이터베이스에 전화하여 컨텐츠를 표시합니다.
%>
</body>
</html>
원칙 분석 : 먼저, request.servariables (query_string)를 사용하여 showarticle/? 1-2.htm과 같은 매개 변수를 얻으려면 1-2.htm을받은 다음 1-2.htm을 필터링하십시오. 우리가 얻어야 할 매개 변수는 1과 2입니다. 다음, Dynamic ASP와 마찬가지로 데이터베이스에서 검색 1 및 2입니다.
공유 : ASP 프로그램의 범용 안티 SQL 주입 공격 코드 해석 SQL 주입 일반 HTTP 요청은 모든 게시물의 매개 변수 정보에서 불법 문자를 필터링하거나 파일의 요청을 가져 오는 한 SQL 주입 공격을 방지 할 수 있습니다. IIS에 의해 ASP.dll에 전달 된 GET 요청은 문자열 형태입니다. 요청에 전달되면 QueryString Data, ASP Parser는 요청을 분석합니다.