突破SQL注入攻击时输入框长度的限制

本文介绍了如何在遇到ASP脚本限制输入框长度时,使用注册表编辑器和HTML脚本来扩展输入框长度,从而绕过限制进行SQL注入攻击。通过导入len.reg到注册表并放置len.htm文件,用户可以右键点击输入框,选择扩展选项来增大输入长度。此外,文章还提及了防止本地提交的ASP代码,以保护服务器免受此类攻击。
摘要由CSDN通过智能技术生成
作者:  czy82 
    前天TK研究的一个网页改COOKIE的小玩意儿给我了一点点灵感
昨晚又和adam聊了聊SQL注入,今早上来就写了这篇东东.
    xp_cmdshell 'net user abc def /add'这些命令大家想必都用烂了
吧,但是在实际的测试中我们常常会遇到这样的情况,服务器的asp
脚本没有对用户的输入做限制,但是在网页上通过对输入框设置maxlength
属性使我们的很多攻击就不能进行.
   有些人可能会想到把网页考到本地,然后本地提交但是有一个
问题是有的网站通过简单的比较HTTP_REFERER和SERVER_NAME的值就可以
防止.
  好了很多人没办法了吧,除了写SOCKET程序改变HTTP_REFERER还有一个更
简单的办法.

------------len.reg-----------------    
Windows Registry Editor Version 5.00

[HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt/扩展(&E)]
@="C://Documents and Settings//Administrator//桌面//len.htm"
"contexts"=dword:00000004

-----------end----------------------

-----------len.htm------------------
<script language=vbs>
set srcevent = external.menuarguments.event
set doc=external.menuarguments.document
set ele&
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值