Jsp万能密码漏洞修复例子

最新推荐文章于 2024-04-25 16:06:21 发布
最新推荐文章于 2024-04-25 16:06:21 发布
阅读量860 收藏
点赞数
文章标签: function 正则表达式 namespace
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/aedggd/article/details/27379949
版权

  Jsp万能密码漏洞修复例子

  如果网站出现这种"万能密码"漏洞该怎么办呢

  'or'='or' 漏洞修复 方法有很多在这里介绍两种,咱们使用第2种

  方法1: Replace过滤字符

  解决方法:查找login.asp下的

  代码如下 复制代码

  username=request.Form("name")

  pass=request.Form("pass")

  修改为:

  代码如下 复制代码

  username=Replace(request.Form("name"), "'", "''")

  pass=Replace(request.Form("pass"), "'", "''")

  语法是屏蔽'和''字符来达到效果。

  下面我把一个有万能密码的bug程序进行修改

  代码如下 复制代码

  public String login()

  {

  String str1 = (String)getParamenterValue("username");

  String str2 = (String)getParamenterValue("password");

  List localList = this.entityManager.findByHQL("from AdminUser where username='" + str1 + "' and password='" + str2 + "'", false, -1, -1);

  if ((localList != null) && (localList.size() > 0))

  {

  HttpSession localHttpSession = getHttpSession();

  localHttpSession.setAttribute("adminuser", localList.get(0));

  setToJsp("/managers/index.jsp");

  return " www.111cn.net ";

  }

  setToJsp("/adminlogin.jsp");

  return "toJsp";

  }

  修复之后的代码:

  代码如下 复制代码

  public String login()

  {

  String str1 = (String)getParamenterValue("username");

  String str2 = (String)getParamenterValue("password");

  List localList = this.entityManager.findByHQL("from AdminUser where username='" + str1 + "' and password='" + str2 + "'", false, -1, -1);

  if ((localList != null) && (localList.size() == 1))

  {

  //if size > 1, don't login.

  AdminUser loginUser = (AdminUser)localList.get(0);

  if(loginUser.getUsername()。equals(str1) && loginUser.getPassword()。equals(str2)){

  HttpSession localHttpSession = getHttpSession();

  localHttpSession.setAttribute("adminuser", localList.get(0));

  setToJsp("/managers/index.jsp");

  }else{

  setToJsp("/adminlogin.jsp");

  }

  return "toJsp";

  }

  setToJsp("/adminlogin.jsp");

  return "toJsp";

  }

aedggd
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
‘or’万能密码漏洞的修补
08-13
‘or’万能密码漏洞的修补 方法1: Replace过滤字符 解决方法:查找login.asp下的<from找到下边的类似 username=request.Form("name") pass=request.Form("pass") 修改为:------------------
phpweb的post.php文件破解并修复万能密码漏洞
02-02
phpweb的post.php文件,已经解密了zend,并且修复了后台万能密码漏洞
利用万能密码登陆网站后台原理及漏洞修复方法
热门推荐
chance2015的博客
12-25 2万+
万能密码这是个比较老的漏洞了,如果你的网站存在这个漏洞,结果肯定非常的悲剧。任何一个初学黑客技术的新人都能很轻松的入侵掉你的网站。因为需要入侵存在这种漏洞的网站不存在任何的技术含量,简单打个密码就行。。但如今还有很多网站管理员都没重视。。以至于让自己的服务器沦落成业内人士常说“万人骑” 要修复漏洞首先需要了解该漏洞的原理,是什么愿意导致漏洞的产生。   下面就来解释下给大家吧! 原理是这样
Web安全--万能密码大全+图片马合成方法
最新发布
余十步的博客
04-25 572
万能密码大全:asp、aspx、php、jsp万能密码大全。
后台登陆万能密码
请叫我菜鸟
01-14 1万+
asp aspx万能密码   1: "or "a"="a    2: ')or('a'='a    3:or 1=1--    4:'or 1=1--    5:a'or' 1=1--    6: "or 1=1--    7:'or'a'='a    8: "or"="a'='a    9:'or''='    10:'or'='or'    11: 1 or '1'=
jsp php aspx,asp 、aspx、php、jsp 万能密码大全
weixin_36237054的博客
03-17 333
asp aspx万能密码1:"or "a"="a2:')or('a'='a3:or 1=1--4:'or 1=1--5:a'or' 1=1--6:"or 1=1--7:'or'a'='a8:"or"="a'='a9:'or''='10:'or'='or'11:1 or '1'='1'=112:1 or '1'='1' or 1=113:'OR 1=1%0014:"or 1=1%0015:'x...
asp、aspx、php、jsp万能密码大全
Master'Blog
10-21 1万+
与其说是asp、aspx、php、jsp万能密码还不如说是Access、Mssql、Mysql、Oracle的闭合代码了。 asp aspx万能密码 1:"or "a"="a 2: ')or('a'='a 3:or 1=1-- 4:'or 1=1-- 5:a'or' 1=1-- 6:"or 1=1-- 7:'or'a'='a 8:
JSP安全开发之XSS漏洞详解
10-21
XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意脚本代码,而程序对于用户输入内容未过滤,当用户浏览该页之时,嵌入其中Web里面的脚本代码会被执行,从而达到恶意攻击用户...
JSP使用过滤器防止Xss漏洞
10-17
主要为大家详细介绍了JSP使用过滤器防止Xss漏洞,具有一定的参考价值,感兴趣的小伙伴们可以参考一下
JSP漏洞大观
01-08
下面介绍一下一些服务器(包括Web服务器和JSP服务器)的常见漏洞。 Apache泄露重写的任意文件漏洞是怎么回事? 在Apache1.2以及以后的版本中存在一个mod_rewrite模块,它用来指定特殊URLS在网络服务器文件系统上所...
JSP万能详细登录系统
06-30
万能登陆系统 全面的JSP页面 万能登陆系统 全面的JSP页面万能登陆系统 全面的JSP页面万能登陆系统 全面的JSP页面万能登陆系统 全面的JSP页面
人事管理系统 jsp+sql server2000
03-24
系统基本参数 1、主页地址:http://localhost:8080/tech/default.htm 默认登录用户 manager 密码123456 2、注册时请指定密码为:注册密码必须是“036999”,才能注册成功,否则会提示“注册未认可”(明白JSP的 可以自行修改 工程源码) 3、程序里面设定的SQL Server数据库登录用户名是:sa,密码为空,如果为sa用户设置了密码,请修改源代码\修改需要的源文件[Eclipse]\tech\jdbc \jdbc.java中的数据库连接代码,然后重新编译这个类,编译后把编译成的class,复制到Tomcat的webapps目录下的tech \WEB-INF\classes\jdbc 程序采用 传统 MVC 模式架构
JSP 传递中文参数的例子
01-20
代码如下:<?xml version=”1.0″ encoding=”UTF-8″ ?> <!DOCTYPE html PUBLIC “-//WAPFORUM//DTD XHTML ...%... charset=UTF-8″ pageEncoding=”UTF-8″%> <...@ page import=”java.net.*”%> <...
万能密码
qq_37529101的博客
06-18 862
万能密码
万能密码
今天吃什么
01-23 8868
第四届山东理工大学计算机网络与信息安全竞赛 SDUT CTF 2018 Web——网站后台 用户名: uname=1&amp;amp;amp;quot;) Or 1 – - 密码随便填
万能密码总结
HOU_XIAO_BAI的博客
11-24 440
万能密码的一些总结
jstl1.2 开源漏洞修复
05-18
JSTL 1.2 是 JavaServer Pages 标准标签库的一部分,提供了一组标签来简化 JSP 页面的开发。如果您使用的是 JSTL 1.2 版本,以下是一些漏洞修复建议: 1. 避免使用 c:import 标签中的 URL 参数,因为它可能会导致任意文件下载漏洞。相反,您可以使用标签的 var 和 scope 属性来实现相同的效果。 2. 避免在 c:set 标签中使用动态变量名称,因为它可能会导致代码注入漏洞。相反,您可以将变量名称硬编码到标签中。 3. 避免在 c:out 标签中使用 escapeXml 属性,因为它可能会导致跨站脚本攻击漏洞。相反,您可以使用 JSTL 自带的 fn:escapeXml 函数来转义输出的内容。 4. 使用最新版本的 JSTL,因为它包含了对已知漏洞修复。您还应该确保您的应用程序使用最新的 Java 运行时环境和 Web 服务器,以减少漏洞的风险。 5. 定期检查 JSTL 的安全公告,并及时应用任何修复程序。JSTL 的安全公告可以在 Oracle 官方网站上找到。 总之,您应该始终关注您使用的软件的安全漏洞,并采取必要的措施来保护您的应用程序和用户。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值