📄 asp请问如何解决登陆验证漏洞 -- 蓝丽技术论坛.htm
字号:
}
catch(e){}
}
</script>
<!--会员隐藏卡设计-->
<table width=172 style='position:absolute;top:1;border:0 solid black;color:white;z-index:300;display:none;' cellspacing=0 height=480 id=usertab bgcolor='#619CE7' cellpadding=0><tr><td align=right valign=top onclick='usertab.style.display="none"' style='cursor:hand;border:1 solid purple;border-top:1 solid dddddd;border-left:1 solid dddddd'><b>×</b>
</td></tr><Tr>
<td align=center valign=top style='border:1 solid dddddd;border-top:0;'>
<div style='height:480;width:100%;overflow-y:scroll;scrollbar-highlight-color:white;scrollbar-shadow-color:white;scrollbar-base-color:#619CE7;scrollbar-arrow-color:blue;line-height:1.5;word-break:break-all;' id=userdiv>
<b>在线成员:<font color='yellow'>1</font>/41人</b><p>
<a href='ismy.asp?user=风云舞' target='_blank' style='color:white' lshdic='地址:山东临沂 特长:网站后台、软件设计、经商 现职:石商'><img src='image/tuzi.gif' width=13 height=13 border=0>风云舞</a>(6507分)<a href='duanxiaoxi.asp?emailto=风云舞'><img src='image/msg.gif' border=0></a><br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>游客(不详,不详)<br>
</div>
</td></tr>
</table>
<TITLE>Asp:请问如何解决登陆验证漏洞 -- 蓝丽技术论坛</TITLE>
<!--以下为右方内容表-->
<style>
img{border:0}
.bon1{border:1 solid orange;background-color:white;color:orange;border-top:0;}
.bon2{border:1 solid orange;border-left:0;background-color:white;color:orange;border-top:0;}
.divs1{word-Break:break-all;width:490;border:1 solid orange;padding:5;border-top:0;border-right:0;line-height:1.5;overflow:auto;scrollbar-face-color:#BBE2F5;scrollbar-highlight-color:white;scrollbar-shadow-color: #BBE2F5;scrollbar-3dlight-color:white;scrollbar-arrow-color:white;scrollbar-track-color:white;scrollbar-darkshadow-color:cccccc;}
</style>
<script>
function imgmove(imgobj){
var temps1=0,temps2=0
if(imgobj.offsetWidth>490){
try{
yesleft=imgobj.offsetLeft
temps1=event.srcElement.parentElement.parentElement.offsetWidth
temps2=(imgobj.offsetWidth/temps1).toFixed(3)
while(imgobj=imgobj.offsetParent){yesleft+=imgobj.offsetLeft}
event.srcElement.parentElement.parentElement.scrollLeft=(event.x*temps2-yesleft)-temps1-50
}catch(e){}
}}
</script>
<TABLE cellspacing=0 cellpadding=3 width=635 bordercolordark='white' bordercolorlight='black' cellspacing=0 cellpadding=0 border=1 rules=none frame=rhs bgcolor=f5f5f5>
<tr><td bgcolor=#6F81BC style='color:white;' colspan=2><img src='image/redfile.gif' width=13 height=13> <b>主题</b>:Asp:请问如何解决登陆验证漏洞 阅读195次,<a oncontextmenu='scrollTo(0,100000);return false' onmousedown='if(event.button==1)scrollTo(0,100000);' lshdic='单击(左或右键)滚动到本页底部,快速回复本贴' style='cursor:hand'>滚动到底</a>
</td></tr><Tr>
<Td width=130 align=center valign=top> <br>
<a href='image/user1.gif' target="_blank"><img src='image/user1.gif' style='margin-left:5;display:none' onload='this.style.display="";if(this.width>130)this.width=130;if(this.height>200)this.height=200;' border=0 lshdic='革己命者的肖像点击放大' onmouseover='this.onload()'></a>
<br><img src='image/xunzhang/0.gif' lshdic='经验勋章:您是一位经验超过888点忠实的论坛老友,特此奖励'>
<br><a href='ismy.asp?user=革己命者' target="_blank" lshdic='点击查看革己命者的详细资料' style='color:'>革己命者</a>(<img src='image/boy.gif' lshdic='男士'>,离线)<br>(<font color='#6772CD'>疯子</font>)
<br>身份:<font color='gray'>准会员</font>
<br>发贴:<font color='#6772CD'>23</font>贴
<br>积分:<font color='#6772CD'>1202</font>分
<br><font color="purple" style="font-weight:bold">LV:4 县长</font><br>
<font color='#9A9340' style='background-color:white'>★</font><font color='#E2AE1E' style='background-color:white'>★</font><font color='#888F54' style='background-color:white'>★</font><font color='#6548CE' style='background-color:white'>★</font><font color='#5A4DE3' style='background-color:white'>★</font><font color='#455D4F' style='background-color:white'>★</font><font color=gray>☆</font><font color=gray>☆</font><font color=gray>☆</font><font color=gray>☆</font>
<script>
function openw(values){
open1=window.open('','','resizable=1,scrollbars=1,menubar=0,toolbar=0,directories=0');
open1.document.open()
open1.document.write(values);
open1.document.close()
}
</script>
</td><td valign=top name=tds1>
<div class='divs1' id=htmdiv1>
很多网站把密码放到数据库中,在登陆验证中用以下sql,(以asp为例) <br>sql="select * from user where username='"&username&"'and pass='"& pass &'" <br> 此时,您只要根据sql构造一个特殊的用户名和密码,如:ben' or '1'='1 <br>就可以进入本来你没有特权的页面。再来看看上面那个语句吧: <br>sql="select * from user where username='"&username&"'and pass='"& pass&'" <br> 此时,您只要根据sql构造一个特殊的用户名和密码,如:ben' or '1'='1 <br>这样,程序将会变成这样: sql="select*from username where username="&ben'or'1'=1&"and pass="&pass&" <br>or 是一个逻辑运算符,作用是在判断两个条件的时候,只要其中一个条件成立,那么等式将会成立.而在语言中,是以1来代表真的(成<br>立).那么在这行语句中,原语句的"and"验证将不再继续,而因为"1=1"和"or"令语句返回为真值.。<br> 另外我们也可以构造以下的用户名: <br>username='aa' or username<>'aa'<br>pass='aa' or pass<>'aa'<br> 相应的在浏览器端的用户名框内写入:aa' or username<>'aa 口令框内写入:aa' or pass<>'aa,注意这两个字符串两头是<br>没有'的。这样就可以成功的骗过系统而进入。<br><br><b>请问大家有什么很好的解决办法?</b>
<br> <br>
<font color='888888'>首发时间:2004-2-22 9:52:51<br>最后更新:2004-2-24 11:11:43,蓝丽技术论坛收录:http://www.lshdic.cn/bbs</font></div>
<script>
var divy=0 //为了实现身份证的鼠标按主拖动浏览所创的变量
function mailtodxx(){
mailstr=prompt('请输入接收短消息的会员名称,标题默认为本页标题,内容默认为本页的网址','');
if(mailstr!=''&&mailstr!=null){
window.open('mailtodxx.asp?submit='+document.title+'&body='+location.href+'&to='+mailstr,'dxxwindow','top=22000')
}}
</script>
<input type=button value='运行在浏览器查看' style='width:150' onclick="openw(htmdiv1.innerText)" lshdic='以HTML方式在浏览器中查看内容' class='bon1'><input type=button value='快速编辑' style='width:80' onclick="htmdiv1.contentEditable=true" lshdic='为调试正确快速修改贴子内容,需IE5.5以上版本' class='bon2'><input type=button value='保存到我的电脑' style='width:110' onclick="document.execCommand('SaveAs',false,document.title.replace(' -- 蓝丽技术论坛','')+'.htm')" lshdic='将本页保存' class='bon2'><input type=button value='发送到XX的短信箱' style='width:120' onclick="mailtodxx()" lshdic='自己收藏或发送文章至其他会员的短消息信箱' class='bon2'>
<p><div style='color:aaaaaa;word-Break:break-all;width:490;border:1 solid #C0E2F9;border-top-width:3;border-right-width:3;padding:5;height:150;line-height:1.2;overflow:hidden;font-family:仿宋_GB2312;font-size:13px;background-color:white;cursor:default' onselectstart='return false' onmousedown='setCapture();divy=event.y' onmousemove='if(event.button==1){if(event.y>divy){this.scrollTop+=5;divy=event.y-5}else{this.scrollTop-=5;divy=event.y+5};}' oncontextmenu='return false' onmouseup='document.releaseCapture()'>
<img src='image/user1.gif' width=60 height=60 align=left style='filter:alpha(opacity=30,style=1,finishopacity=5)'>蓝丽技术论坛成员身份证(帅哥型),人气值<font color='#C0E2F9'>122</font>点<br>
昵称:革己命者 年龄:20 ,未婚 来自:湖南长沙 <br>OICQ:16084860 专业:网页后台 现职:在校学生 <br>
登记日期:2003-12-9 更新日期:2004-2-22<br>
邮件:<font color=#C0E2F9>lxz78@163.com</font> <br>
我们只谈技术[red][/red]<span style='background-color:yellow'></span><big></big><hr size=2 color=red>flash://填写Flash动画路径,注意路径不要包含http://
</div>
</td></tr>
<Tr><Td align=right colspan=2>
版主帖子管理:
<a href='boos.asp?dex=3&areyou=提前&myclass=6854&isdex=true'>提前</a>
<a href='boos.asp?dex=3&areyou=修改&myclass=6854&isdex=true&page=2'>修改</a>
<a href='boos.asp?dex=3&areyou=锁定&myclass=6854&isdex=true'>锁定</a>
<a href='boos.asp?dex=3&areyou=置顶&myclass=6854&isdex=true'>置顶</a>
<a href='boos.asp?dex=3&areyou=转移&myclass=6854&isdex=true'>转移</a>
<a href='javascript:if(confirm("确实要删除该贴吗?"))location="boos.asp?dex=3&areyou=删除&myclass=6854&isdex=true&page=2"'>删除</a> - <a href='duanxiaoxi.asp?emailto=革己命者' lshdic='发敬告/警告,提醒作者' target='_blank'>短信敬告</a> <a href='ismy.asp?user=革己命者&loveyou=true' lshdic='+版主级别*4分'>奖分</a> <a href='ismy.asp?user=革己命者&killyou=true' lshdic='-级别*4分'>减分</a> <a href='xunzhang.asp?touser=革己命者' target='_blank'>奖勋章</a>
</td></tr>
</script>
<tr><Td bgcolor=#BBE2F5 colspan=2 style='border-top:1 solid white;border-bottom:1 solid white;'><img src='image/yellowfile.gif' width=13 height=13> 跟贴:第<font color=red><b> 7 </b></font>楼
回复针对<a href='javascript:pos1.filetxt.focus();pos1.filetxt.value="[table][b]To:第[color=red]7[/color]楼的[color=red]帅青蛙[/color]朋友[/b][/table]\n";void(0);'>帅青蛙</a>,回复引用<a href='javascript:pos1.filetxt.value="[table][b]以下是引用[color=red]7[/color]楼[color=red]帅青蛙[/color]朋友的论点:[/b]\n"+htmdiv2.innerText.substr(0,htmdiv2.innerText.length-87)+"[/table]\n";pos1.filetxt.focus();;void(0);'>帅青蛙</a>
</td></tr><Tr>
<Td width=130 align=center valign=top> <br>
<a href='http://www.blueidea.com/bbs/icon/frog.gif' target="_blank"><img src='http://www.blueidea.com/bbs/icon/frog.gif' style='margin-left:5;display:none' onload='this.style.display="";if(this.width>130)this.width=130;if(this.height>200)this.height=200;' border=0 lshdic='帅青蛙的肖像点击放大' onmouseover='this.onload()'></a>
<br><img src='image/xunzhang/0.gif' lshdic='经验勋章:您是一位经验超过888点忠实的论坛老友,特此奖励'> <img src='image/xunzhang/1.gif' lshdic='帅哥专用勋章:您是论坛的一位KG,此章是您的身份证明,PLMM要注意他哦:)'> <img src='image/xunzhang/2.gif' lshdic='高手勋章:您被公认为技术高手,希望您能更好的帮助这里的朋友'> <img src='image/xunzhang/4.gif' lshdic='积极参与奖:您经常热情的参与论题的讨论,特赠此勋章表示感谢'> <img src='image/xunzhang/6.gif' lshdic='优秀版主奖:您实力雄厚,乐于助人,身为版主您做的很出色,特赠此奖'> <img src='image/xunzhang/7.gif' lshdic='鼓励勋章:您在某段时间表现尤为突出,特奖此章希望继续表现'> <img src='image/xunzhang/9.gif' lshdic='终身成就奖:在这里您是一位元老、长辈,你陪这里度过了 漫长的岁月,留下了不朽的回忆,特此将本论坛最高奖励赠与您'>
<br><a href='ismy.asp?user=帅青蛙' target=top lshdic='点击查看帅青蛙的详细资料' style='color:'>帅青蛙</a>(<img src='image/boy.gif' lshdic='男士'></font>,离线)
<br>身份:<font color='gray'>管理员</font>(<font color='red'><b>8</b></font>级)
<br>发贴:<font color='#6772CD'>439</font>贴
<br>积分:<font color='#6772CD'>4253</font>分
<br><font color="purple" style="font-weight:bold">LV:9 总书记</font><br>
<font color=9A9340 style='background-color:white'>★</font><font color=E2AE1E style='background-color:white'>★</font><font color=888F54 style='background-color:white'>★</font><font color=6548CE style='background-color:white'>★</font><font color=5A4DE3 style='background-color:white'>★</font><font color=455D4F style='background-color:white'>★</font><font color=FDD93C style='background-color:white'>★</font><font color=1E8D74 style='background-color:white'>★</font><font color=CC8933 style='background-color:white'>★</font><font color=6CDA3 style='background-color:white'>★</font><br>
</td><td valign=top>
<div class='divs1' id=htmdiv2>
推荐使用sx1123的方法。<br>先判断用户名,再进行密码验证。<br><br>用户名的验证就用楼上的方法,比较实用,调用也方便。
<br> <br>
<font color='888888'>首发时间:2004-2-23 9:30:15<br>最后更新:2004-2-23 9:30:15,蓝丽技术论坛收录:http://www.lshdic.cn/bbs</font></div>
<input type=button value='运行在浏览器查看' style='width:150;' onclick="openw(htmdiv2.innerText)" lshdic='以HTML方式在浏览器中查看内容' class='bon1'><input type=button value='快速编辑' style='width:80;' onclick="htmdiv2.contentEditable=true" lshdic='为调试正确快速修改贴子内容,须IE5.5以上版本' class='bon2'>
⌨️ 快捷键说明
复制代码
Ctrl + C
搜索代码
Ctrl + F
全屏模式
F11
切换主题
Ctrl + Shift + D
显示快捷键
?
增大字号
Ctrl + =
减小字号
Ctrl + -