网站安全不可忽视--一个收费网站的破解过程

最新推荐文章于 2024-05-07 10:15:57 发布
最新推荐文章于 2024-05-07 10:15:57 发布
阅读量1.2w 收藏 20
点赞数 2
分类专栏: 技术 文章标签: JSP Java SQL Server Web JDBC



某日在网上偶然打开一个网站,是有PLMM与你视频聊天的,但是要手机注册收费。
就想找找有没有漏洞可以不花钱就与MM聊天。
首先找找有没有SQL的空子可钻
打开一个带有参数的页面,http://www.xxx.yyy/abc.jsp?agentid=111116
把后面的参数改一下试试看
http://www.xxx.yyy/abc.jsp?agentid=111116'
结果<o:p></o:p>

500 Servlet Exception


看来是把字符串转换成数字再处理的,这里好像没戏
再继续找找看,注册和登录都试过了,没用
后来偶然发现一个地方可以上传照片,可以研究一下
结果幸运,传了一个jsp文件上去,居然没有提示错误!
后来顺利的由图片的路径找到了传上去的JSP文件的路径
结果试着访问,一切正常
OK,天助我也!
随便写了一个访问硬盘上的目录和文件的jsp文件,传了上去
于是通过jsp文件得到了网站的物理路径
又写了一个查看文件内容的jsp,传上去
这下硬盘上的东西都可以看得一清二楚了
要想不用钱就可以登录,还得找到数据库才行
看看里面的jsp代码,看不出什么明堂,都是用的javabean写的
估计是把数据库的操作都封装了,看来从jsp文件下手是没希望了
看看WEB-INF下边有什么,WEB.xml看了看,没什么用
在看看classes里面,有一个名字叫做campus.properties的文件
打开看看,梦寐以求的服务器IP,端口,sa的密码都在里面
#campus.properties -- Thu Jul 01 18:23:20 CST 2004
#Thu Jul 01 18:23:20 CST 2004
DbConnectionDefaultPool.minConnections=1000
mail.domain=localhost
DbConnectionDefaultPool.server=jdbc\:jtds\:sqlserver\://192.168.1.3\:1433/xxx;charset\=gb2312
mail.encoding=GB2312
infor.TypeMorePath=TypeMoreList.jsp
infor.TiTime=yy-M-d
infor.TiLiStr=<font size\=2>&\#8226;</font>
sxhCrypt1=426CE28D53728257
infor.MsgMoreLink=
infor.TiPattern=T[M-d]
DbSearchIndexer.lastIndexed=993035225847
documentOption2=false
infor.Css=a3
DbConnectionDefaultPool.logPath=D\:\\work\\web\\xxx\\WEB-INF\\CampusDbLog.log
infor.TypeViewPath=TypeView.jsp
DbConnectionDefaultPool.username=sa
infor.MsgMorePath=MsgMoreList.jsp
path=D\:\\work\\web\\udate\\WEB-INF\\classes\\campus.properties
setup=true
DbConnectionDefaultPool.connectionTimeout=0.002
mail.smtpport=25
mail.tempdir=D\:\\myProject\\XerInfor\\defaultroot\\files\\MailTmp
campusHome=D\:\\work\\web\\udate
DbConnectionDefaultPool.maxConnections=3000
infor.TiImgStr=
mail.smtphost=localhost
DbConnectionDefaultPool.driver=net.sourceforge.jtds.jdbc.Driver
infor.ImgPath=MsgList.jsp
infor.MsgViewPath=MsgView.jsp
DbConnectionDefaultPool.password=xxxxxxxxxxx
(以上关键的地方有所改动)

有了这些,哈哈,一切都解决了吧!
马上写个jsp查询一下数据库里面都有什么表
有个_User表,估计就是用户表
取几条数据试试,果然。。。。
接下来就好办了
为了不引怀疑还有让无辜的人为我出钱
所以还得注册一个帐户,但不续费
然后把自己的手机号码用Update更新成别的不存在的号码
再找到点数那个字段
更新成1000000
哈哈,一切都搞定!
登录一下试试,自己变成有钱人啦!!!
由于不想跟网站造成不必要的麻烦,还是不打算公布这个网站出来了,兄弟姐妹们见谅!


由此可见,网站的安全性非常重要,尤其是收费的网站
如果不注意,轻则让别人免费参观,重则所有数据都OVER
想象一下如果执行一条Delete From _User,这个网站的损失会有多大?
我以前写代码的时候都没有注意到此类的细节
经过这次,我想以后一定要注意这些问题了

Cnxiaowei
关注
  • 2
    点赞
  • 20
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
如何破解一些网站防盗链,收费下载文件呢
cj184445867的专栏
09-06 2万+
 ※ 破解防盗链技巧 ※如何破解一些网站防盗链,收费下载文件呢。有点经验共享下:先打开Google,在关键词输入框中输入"index of/"inurl:lib(双引号为英文状态下),选择“搜索简体中文网页”选项,回车搜索,得到了一些网页,不要以为这是一些普通的页面,其实它们是一些图书网站的资源列表,点击打开它来看看,怎么样?是不是所有资源一收眼底了?使用其他关键字可能得到更多的资源在搜索框上输入
python爬取付费隐藏内容_如何用python 爬取网页中隐藏的div内容?
weixin_39927848的博客
11-23 7052
图片所在的html元素id叫 viewimg ,这个元素是由 view.js 当中的 loadview 函数创建的。该函数吧serverurl跟photosrc这个array里头的元素拼接,并把他设置成viewimg的src属性,这就是图片链接。图片链接由前半部分服务器链接和后半部分GET参数构成。服务器链接相对固定,实际只发现了两个:img.tsjjx.comimg.hi328.comGET参数...
收费网站破解攻略.mht
10-25
介绍如何破解收费网站,可以用来破解收费网站收费问题很好用,步骤很详细
志在指尖网站优化工具Ver2.0【收费破解版】
志在指尖
09-17 994
    废话不多说直接先放图   从1.0版本开始一直到1.3版本全部免费,持续了这么多个版本。 我想在免费期间一直使用本软件的用户一定清楚我们的软件效果怎样,这里我以本站使用工具优化的收录量为例。 下面是我秒收录的相关图片 我只发了一个标题为1 内容为1的文章 百度8分钟收录 这就是绝对实力 秒收录测试图片 秒收录测试图片 这里可以清晰的看到 我只写了一片标...
2024年网络安全最全黑客入门破解网络密码常用九个方法_网页password解密教程,这篇文章可以满足你80%日常工作
最新发布
2401_84253089的博客
05-07 1705
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
绕过收费网站不能再收费的软件Login Me
04-23
很多网站都是注册之后才能享受一系列相关服务的,例如YouTube,但是,注册有时候显得很浪费时间,所以这个软件就诞生了。使用这个软件,可以提供给你多达174166个(目前)网站的免费ID,你可以直接使用这些ID来登陆你进入的网站,当然,这个软件只会提供一些免费注册账户,而且,由于是外国软件,所以这174166个网站中估计没有(也许)中国的网站
网站建设不可忽视7个细节.rar
07-09
以下是基于标题“网站建设不可忽视7个细节”所涉及的关键知识点: 1. **响应式设计**:随着移动设备的普及,确保网站在不同设备上都能提供良好的浏览体验至关重要。响应式设计可以自动调整网页布局,适应手机、平板...
Web前端安全同样不可忽视
01-30
随着网络的快速普及,网络安全问题的受害者不再只是政府、企业等集体,每一个接触网络的普通人都有可能成为网络攻击的受害者。随着网络的普及,黑客进行网络攻击的手段越来也多,越来越复杂。以网站的攻击为例,据...
数据安全 不可忽视的业务安全问题 - iphone.zip
11-06
数据安全 不可忽视的业务安全问题 - iphone 访问管理 移动安全 防火墙 自动化 云安全
网站安全 不容忽视的企业外部威胁 - ruby.zip
11-06
总的来说,企业必须认识到网站安全的复杂性和重要性,采取综合性的防御措施,从风险评估到具体的技术实施,再到人员培训,每一个环节都不能忽视。通过不断学习和适应新的威胁,企业可以构建更坚固的防线,保护自身免...
安全研究 不可忽视的业务安全问题-唯品会 - 重拓扑.zip
11-06
以“安全研究 不可忽视的业务安全问题-唯品会 - 重拓扑”为主题的压缩包文件,揭示了唯品会在处理业务安全方面的一些关键点,包括工控安全Web安全、WAF(Web应用程序防火墙)、物联网安全以及自动化等领域的关注。...
详解python 破解网站反爬虫的两种简单方法
12-20
最近在学爬虫时发现许多网站都有自己的反爬虫机制,这让我们没法直接对想要的数据进行爬取,于是了解这种反爬虫机制就会帮助我们找到解决方法。 常见的反爬虫机制有判别身份和IP限制两种,下面我们将一一来进行介绍。 (一) 判别身份 首先我们看一个例子,看看到底什么时反爬虫。 我们还是以 豆瓣电影榜top250(https://movie.douban.com/top250) 为例。` import requests # 豆瓣电影榜top250的网址 url = 'https://movie.douban.com/top250' # 请求与网站的连接 res = requests.get(url)
html网页点击隐藏一部分
01-23
点击隐藏一部分点
如何获取网页付费隐藏链接_司马小七教你如何隐藏联盟链接和使用插件Shorty统计分析!...
weixin_39781945的博客
12-12 1万+
嗨大家好!好久不见啊,最近司马小七一直在做国内的社交电商平台的建立,耽误了不少更新的时间,今天上来搜索下干货,然后给大家分享一下!今天就讲讲联盟链接如何隐藏吧,还有关于shorty的插件使用方法!对一些AFF来说是不错的选择哦! 当我们把联盟链接放到我们的网站或者文章的时候,一般是不建议直接放原始链接的。原因有很多,最直接的原因就是联盟链接太长,直接放上去不美...
如何破解大型网站的登录
XiyouMC
03-31 2万+
阅读本文需要4.66分钟 你被标题吸引了吧。。。别急着关。。重头戏在后面 最近当我玩B站的时候,一不小心用代码登录了它,并几乎无限制的上传视频。 那么接下来,我来讲解如何通过Hack技术来模拟 哔哩哔哩 的登录,并完成我们的视频上传等操作。因此内容中略有“暴力”,若您感到不适,那还是也请看完它。 按照以往的老套路,我们首先需要弄清楚它的登录逻辑,并通过我们的代码来实现登录操作,其次拿到所谓的 Co
网站图片需要付费禁止下载?这个网站神器轻松搞定!
热门推荐
夏末的博客
12-14 2万+
有时候我们需要下载一个有版权或者无版权的图片作为个人使用,但是有些网站是无法直接下载图片的,需要付费购买才行,今天给大家共享一个很简单的方法,只要使用这个网站就可以解决网页需要付费的图片免费下载了; 使用方法: 1、打开需要付费或者无法右键点击无法下载的网页; 2、找到你想要下载的图片,点击鼠标右键复制图片链接; 3、将图片链接复制到这个网站点击下载到本地即可; 推荐大家3个无版权免...
MH游戏杂志的WordPress主题
maolai博客
10-28 2万+
 
网站安全维护方案X样本.doc
01-06
总结来说,网站安全维护是一项全面且重要的任务,涉及多个层面,包括操作系统、Web应用、监控和应急响应。通过专业的第三方服务,可以有效地降低安全风险,保护网站免受攻击,确保业务的正常运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值