一个厂商网站的SQL安全检测 (啊D、明小子)
2015-08-11 15:15
369 查看
鄙人今年20,七年前也就是我初一的时候钻研过一段时间的攻防技术,但是由于年纪尚小不懂代码而且以学业为重放弃了继续钻研。
前几天学校一学弟开群拉有兴趣的同学进入,我又想到了过去学到的那些东西,突然又有了感觉,不能放弃啊,毕竟是当时深爱的东西。
======================================================================================================
昨晚在看教程,拿来了教程里的网页想试试有没有安全问题。页面如下:
发现域名还是存在的,只是换了厂家。
自己比较小白,不懂SQL高端的代码之类的,直接拿来工具啊D,塞进去地址检测。(常见的可以尝试的地址有产品展示之类的图片比较多的地方)
果不其然,出现了两个可注入点。
随便选第一个吧,注入检测成功。
依次再检测表段,字段,内容,十几秒管理员用户名就出来了。
详细看一下用户名也不是常用的admin之类的,只能说纯字母确实不好。不是非常严重的是,没有pwd一项被猜解出来。
后台尝试经常用的地址,manage直接成功。
尝试使用密码admin,admin88,123456等弱口令登陆都失败了。(= =后面才知道自己多白痴)
使用明小子暴力猜解。。结果和用户名一样。。。T_T
然后成功登陆后台。
此漏洞已于昨晚凌晨上报乌云。
关于SQL的更多参考:
http://blog.csdn.net/csh624366188/article/details/8105217
http://netsecurity.51cto.com/art/200808/87178.htm
http://blog.sina.com.cn/s/blog_640b84590100jamq.html
===============================================================================
本文仅供学习研究之用,读者利用所产生的后果概不负责。
前几天学校一学弟开群拉有兴趣的同学进入,我又想到了过去学到的那些东西,突然又有了感觉,不能放弃啊,毕竟是当时深爱的东西。
======================================================================================================
昨晚在看教程,拿来了教程里的网页想试试有没有安全问题。页面如下:
发现域名还是存在的,只是换了厂家。
自己比较小白,不懂SQL高端的代码之类的,直接拿来工具啊D,塞进去地址检测。(常见的可以尝试的地址有产品展示之类的图片比较多的地方)
果不其然,出现了两个可注入点。
随便选第一个吧,注入检测成功。
依次再检测表段,字段,内容,十几秒管理员用户名就出来了。
详细看一下用户名也不是常用的admin之类的,只能说纯字母确实不好。不是非常严重的是,没有pwd一项被猜解出来。
后台尝试经常用的地址,manage直接成功。
尝试使用密码admin,admin88,123456等弱口令登陆都失败了。(= =后面才知道自己多白痴)
使用明小子暴力猜解。。结果和用户名一样。。。T_T
然后成功登陆后台。
此漏洞已于昨晚凌晨上报乌云。
关于SQL的更多参考:
http://blog.csdn.net/csh624366188/article/details/8105217
http://netsecurity.51cto.com/art/200808/87178.htm
http://blog.sina.com.cn/s/blog_640b84590100jamq.html
===============================================================================
本文仅供学习研究之用,读者利用所产生的后果概不负责。
相关文章推荐
- 详解网站WEB日志格式
- 转:Tumblr:150亿月浏览量背后的架构挑战
- 使用CSS创建有图标的网站导航菜单
- 由12306.cn谈谈网站性能技术
- 微信网站注意事项
- 好文章,被架构师秒杀之后
- 架构师
- Android系统架构
- 一个前端与后端分离的架构实例
- 如何在网站中添加百度地图
- LinkedIn架构发展简史
- iOS技术框架构和更新版本的技术特性
- 客户对网站知识的了解能促进网站建设行业的发展
- 浅谈网站robots的写法
- 使用Diagnose服务查看Azure网站诊断信息
- 微博高并发场景下的分布式缓存架构
- 使用CSS3开启GPU硬件加速提升网站动画渲染性能
- 我的Django学习网站
- Linux电源管理(2)_Generic PM之基本概念和软件架构
- Linux电源管理(1)_整体架构