万能密码为什么能成功

最新推荐文章于 2024-04-25 16:06:21 发布
最新推荐文章于 2024-04-25 16:06:21 发布
阅读量701 收藏 2
点赞数
文章标签: 服务器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lmt_2001/article/details/129517346
版权

1.在用户名处输入“admin‘ or 1=1 -- ",输入任意密码

2.表单成功绕过,登陆成功

 万能密码成功的原因:

万能密码的用户名和密码: admin or 1=1 或者1 or 1=1 or 1=1
这个的原理就是利用了数据库在查询过程中的代码漏洞造成的。
例如:
select use from tb_admin where use=11 and pwd=123;
这是一个普通的查询语句。
我们理解这条是查询数据库中表名为tb_admin中的use列,并且查询需要满足的条件是use列中值为“11”而且还要pwd列值为“123”的数据信息。
通常我们会使用这种方法来验证网页上用户输入的账号和密码,如果是有这条信息的则出现另一个登录成功。
但是:如果登录时候我们用了类似or 1=1的输入的话那语句会变了样了
如果use的值是用户账号pwd的值是密码,那么假如我们输入的是这样那语句在提交的时候就标称了:
select use from tb_admin where use=or 1=1 and pwd=123;
那么我们在看这条语句,就相当于只需要满足use的值为空,或者是1=1和pwd等于’123‘。这样一来因为加入了‘或’的原因并且use至于为空就可以返回值。这样无论怎么操作都会显示成功了。达成条件。利用这种方法就可以登录成功。

 

 

lmt_2001
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
万能密码:‘or 1=1-- 实战SQL注入,华为财经2024春招面试
04-02 714
在面试前我整理归纳了一些面试学习资料,文中结合我的朋友同学面试美团滴滴这类大厂的资料及案例由于篇幅限制,文档的详解资料太全面,细节内容太多,所以只把部分知识点截图出来粗略的介绍,每个小节点里面都有更细化的内容!大家看完有什么不懂的可以在下方留言讨论也可以关注。来粗略的介绍,每个小节点里面都有更细化的内容!**大家看完有什么不懂的可以在下方留言讨论也可以关注。
SQL注入之万能密码.docx
06-04
例如,提供的例子中,万能密码的形式为 "'or'='or'",这样的构造基于一个假设:如果在查询中插入这个字符串,无论原始查询的其他部分如何,整个表达式始终为真,因为 '=' 操作符两边的单引号内的字符串都是非空的,...
php后台万能登陆密码,各类网站后台万能密码整理
weixin_34461414的博客
03-20 4908
各类网站后台万能密码整理2018-12-18adminadminadminadmin888asp aspx万能密码1:"or "a"="a2: ")or("a"="a3:or 1=1--4:"or 1=1--5:a"or" 1=1--6:"or 1=1--7:"or"a"="a8:"or"="a"="a9:"or""="10:"or"="or"11: 1 or "1"="1"=112: 1 or ...
登陆界面万能密码绕过
1stPeak's Blog
08-12 3299
常见万能密码: admin'-- admin' or ''=''-- admin' or 1=1-- 'or 1=1-- admin'or''=' 'or'='or' 'or''='
Web安全--万能密码大全+图片马合成方法
最新发布
余十步的博客
04-25 650
万能密码大全:asp、aspx、php、jsp万能密码大全。
SQL万能密码原理
qq_40432713的博客
02-23 1642
【万能密码的原理】 用户进行用户名和密码验证时,网站需要查询数据库。查询数据库就是执行SQL语句。 针对此BBS论坛,当用户登录时,后台执行的数据库查询操作(SQL语句)是【Select user_id,user_type,email From users Where user_id=‘用户名’ And password=‘密码’】。 由于网站后台在进行数据库查询的时候没有对单引号进行过滤,当输入...
暴力破解时常说的万能密码是什么
nonpricklycactus的博客
02-28 6343
     在登陆后台时,接收用户输入的Userid和Password数据,并分别赋值给user和pwd,然后再用  sql="select * from admin where username="&user&" and password="&pwd&"" 这句来对用户名和密码加以验证。        以常理来考虑的话,这是个很完整的程序了,而在实际的使用过程中,整...
【万能密码
qq_37529101的博客
06-18 868
万能密码
万能密码(sql注入)
hk_hkl的博客
07-17 6291
万能密码利用的原理就是在后台登陆页面没有对用户输入的内容进行验证,此时程序所用用户输入的数据都合法的,所以这个时候无论是合法的管理员还是非法的入侵者所输入的数据都是被信任的,非法入侵者正是利用这一特点来进行非法登录的。当我们在登录界面输入 【万能账号】比如 a’ or true # 以后,后端会将我们输入的参数拼接到SQL中,然后去数据库中查询账号和密码。,所以这需要使用 a’ or 1 – a 而不是 a’ or 1 --a 其原理和 a’ or 1 # 大同小异。
【学术探讨】万能密码原理剖析
wangyuxiang946的博客
06-14 1万+
【万能密码】,顾名思义,就是可以 【登录任意网站】的账号和密码,这篇文章就跟大家探讨一下,万能密码究竟是如何实现登录的。
万能PDF密码移除
08-02
值得注意的是,尽管这类工具可以快速解除PDF的密码,但并非所有的PDF文件都能成功解锁,尤其是那些使用复杂算法加密的文件。此外,使用过程中要注意保护个人隐私,不要随意分享解密后的文件,避免侵犯他人权益。 ...
万能破解无线网络密码详解
12-05
各位朋友,想免费上无线网的有福了! 本无线网络密码破解傻瓜图文...本人作为一个心动+遗憾的代表,充分发挥主观能动性,总算学有所成,终于成功无线密码,这份成功的喜悦不敢独自享受,所以写下该篇文章和大家欣赏。
注册_网络三少万能阅读器
08-21
《注册_网络三少万能阅读器》是一个专为阅读爱好者设计的应用程序,它提供了丰富的功能,旨在优化用户的阅读体验。下面将详细解析该软件的关键技术点和功能特性。 首先,系统结构是软件的核心组成部分,它决定了...
设置密码登录进入页面SettingPwdDemo
10-13
5. **权限控制**:当用户成功设置或验证密码后,可以进入主界面或者其他受保护的界面。这涉及到Android的权限控制,可能需要用到SharedPreferences来存储已验证的状态,或者使用Session管理。 6. **错误提示**:在...
万能密码或账号登录语句
weixin_44257023的博客
03-29 2606
账号输入: a or true #密码随便输入,比如: 123456。密码随便输入,比如:123456。用户名输入: admin’ #
数据库,万能密码密码解析
Zyh's blog
01-13 3499
数据库
万能密码:‘or 1=1-- 实战SQL注入,秒破后台
热门推荐
杨明金的博客
10-24 3万+
主要是没有对登录密码的字符串进行参数化和过滤,所以导致网站可以直接用“万能密码”进行突破登录 仅供学习交流 这是某同学做的网站,今天无聊打开了,并帮他进行测试一下 看到这个后台,感觉做的还是不错的,首先SQL注入一般这种“万能密码”在99%的网站都是没有用的了,因为几乎所有发布到网络上的网站都是有进行安全考虑的,像这种学生的学术作品的话,一般不会考虑那么多,所以直接使用万能密码进行登录后台 万能密码:'or 1=1-- 用户名随便输入,密码填写这个,输入验证码,ok,大功告成 直接就.
管理后台登入万能密码合集
安全界的彭于晏的博客
06-24 2860
1.asp aspx万能密码 1: "or "a"="a 2: ')or('a'='a 3:or 1=1-- 4:'or 1=1-- 5:a'or' 1=1-- 6: "or 1=1-- 7:'or'a'='a 8: "or"="a'='a 9:'or''=' 10:'or'='or' 11: 1 or '1'='1'=1 12: 1 or '1'='1' or 1=1 13: 'OR 1=1%00 1
sql注入万能密码 admin 'or '1'='1'# (# 为注释后面内容)
wjwqp的专栏
03-01 1万+
admin 'or '1'='1'# (# 为注释后面内容) admin'-- admin'or4=4-- admin'or'1'='1'-- admin888 "or"a"="a admin'or2=2# a'having1=1# a'having1=1-- admin'or'2'='2 ')or('a'='a or4=4-- c a'or'4=4-- "or...
springboot admin 加密码
09-16
Spring Boot Admin 是一个用于监控和管理 Spring Boot 应用程序的开源工具。它可以为我们提供可视化界面来监控应用程序的运行状况、获取详细的应用程序信息以及进行一些管理操作。 对于 Spring Boot Admin 的安全性,我们可以通过添加密码来加强访问控制。要实现密码保护,可以在 Spring Boot Admin 服务器的配置文件中配置安全相关的属性。首先,我们可以通过设置 `spring.boot.admin.ui.security.enabled` 的值为 `true` 来启用安全功能。 然后,我们可以设置 `spring.boot.admin.ui.security.user.name` 和 `spring.boot.admin.ui.security.user.password` 分别为期望的用户名和密码。这样,只有提供了正确的用户名和密码的用户才能访问 Spring Boot Admin 的监控界面和管理功能。 为了更好的安全性,我们还可以通过 `spring.security.user.roles` 属性设置用户的角色。默认情况下,用户将获得 "USER" 角色。如果我们想要限制用户的访问权限,可以设置其他角色,然后在其他地方配置这些角色的权限。 值得注意的是,密码的明文保存在配置文件中,为了避免密码泄露的风险,我们应该采用合适的方式来保护配置文件的安全性。一种常见的做法是使用环境变量替代硬编码的密码值。 通过加密码,我们可以保护 Spring Boot Admin 的访问权限,只允许经过身份验证的用户进行监控和管理操作。这样可以提高系统的安全性,并避免未经授权的人员篡改应用程序的设置或数据。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值