sql注入

最新推荐文章于 2021-11-08 10:49:18 发布
置顶 最新推荐文章于 2021-11-08 10:49:18 发布
阅读量460 收藏
点赞数
分类专栏: sqlserver


六.暴力破解密码

 

目前的登陆和修改密码,没有错误次数的限制。

 

Solution: 是否可以加入新的逻辑:单位时间内输入错误次数大于一个数值时,改账号会被冻结。可以由改company的admin 解冻 或者发送申请到 sunnet后由sunnet公司解冻。


1.web.config里加链接字段:

[html]  view plain  copy
  1. <configuration>  
  2.   <connectionStrings >  
  3.     <add name="myConnectionString"  
  4.          connectionString="Server=10.231.248.177;Database=testdb;User ID=sa;Password=pa$$word;Trusted_Connection=False;"  
  5.          providerName="System.Data.SqlClient"/>  
  6.   </connectionStrings>  


2.拖几个控件在form里:

[html]  view plain  copy
  1. <form id="form1" runat="server">  
  2.         <asp:Label ID="LU" runat="server" Text="User Name:"></asp:Label>  
  3.         <asp:TextBox ID="TBU" runat="server"></asp:TextBox>  
  4.         <br/>  
  5.         <asp:Label ID="LP" runat="server" Text="Password:"></asp:Label>  
  6.         <asp:TextBox ID="TBP" runat="server"></asp:TextBox>  
  7.         <br/>  
  8.         <asp:Button ID="Login" runat="server" Text="Login" OnClick="Login_Click" />  
  9.     <div>  


3.写登录事件:

[csharp]  view plain  copy
  1. protected void Login_Click(object sender, EventArgs e)  
  2.     {  
  3.         using(SqlConnection con = new SqlConnection(WebConfigurationManager.ConnectionStrings["myConnectionString"].ConnectionString))  
  4.         {  
  5.             con.Open();  
  6.             SqlCommand cmd = new SqlCommand();  
  7.             cmd.CommandText = "SELECT Count(1) FROM [User] where UserName='" + TBU.Text.Trim() + "' and Password='" + TBP.Text.Trim() + "'";  
  8.             cmd.CommandType = CommandType.Text;  
  9.             cmd.Connection = con;  
  10.             int count =(int) cmd.ExecuteScalar();  
  11.             Response.Write(cmd.CommandText);  
  12.             if (count > 0)  
  13.             {  
  14.                 Response.Write("<script>alert('Login pass!');</script>");  
  15.             }  
  16.             else  
  17.             {  
  18.                 Response.Write("<script>alert('Login fail!');</script>");  
  19.             }  
  20.   
  21.         }  
  22.     }  


4.构造SQL注入登录:

用户名输入:test' or ''='

密码输入:' or ''='

或者

用户名输入:test

密码输入:' or ''='

如图:




其他ASP.net SQL注入的例子,如果有兴趣可以参考下:

http://www.aspsnippets.com/Articles/SQL-Injection-Attack-its-examples-and-Prevention-mechanisms-and-Techniques-in-ASPNet.aspx

http://www.codeproject.com/Articles/459324/Understading-SQL-Injection-and-Creating-SQL-Inject

http://blogs.iis.net/nazim/sql-injection-demo

其他的SQL注入:http://www.unixwiz.net/techtips/sql-injection.html

yuanyuanispeak
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
SQL注入链接
weixin_30237281的博客
10-12 133
在51CTO上看到一个sql注入专题,挺好的。 http://netsecurity.51cto.com/art/201108/287651.htm 转载于:https://www.cnblogs.com/y3w3l/p/5954441.html
SQL注入专题(收藏链接)
web开发
03-06 580
 http://www.secnumen.com/technology/anquanwenzhai.htm
SQL注入
m0_51457307的博客
11-08 2万+
一、什么是SQL注入 SQL注入(SQL lnjection)是发生在Web程序中数据库层的安全漏洞,是比较常用的网络攻击方式之一,他不是利用操作系统的BUG来实现攻击,而是针对程序员编写时的疏忽,通过SQL语句,实现无账号登录,甚至修改数据库。也就是说,SQL注入就是在用户输入的字符串中添加SQL语句,如果在设计不良的程序中忽略了检查,那么这些注入进去的SQL语句就会被数据库服务器误认为是正常的SQL语句而运行,攻击者就可以执行计划外的命令或者访问未授权的数据。 二、SQL注入的原理 1.恶意拼接查
SQL注入详解
行者AI
09-16 1万+
现在大多数系统都使用B/S架构,出于安全考虑需要过滤从页面传递过来的字符。通常,用户可以通过以下接口调用数据库的内容:URL地址栏、登陆界面、留言板、搜索框等。这往往会出现安全隐患,为了更好的保护数据泄露或服务器安全,为了方便的安全测试,便编写此文。 1. SQL注入简介 SQL注入就是指Web应用程序对用户输入数据的合理性没有进行判断,前端传入后端的参数是攻击者可控制的,并且根据参数带入数据库查询,攻击者可以通过构造不同的SQL语句来对数据库进行任意查询。下面以PHP语句为例作为展示: query="SE
pangolinsdl—sql注入工具
06-20
**SQL注入工具——PangolinsDL详解** SQL注入是一种常见的网络安全漏洞,它允许攻击者通过输入恶意的SQL代码来操纵或获取数据库中的敏感信息。针对这种威胁,开发者和安全研究人员常常使用SQL注入工具来进行测试和...
SQL 注入天书.pdf
08-06
SQL注入是一种常见的网络安全漏洞,发生在应用程序使用用户输入的SQL代码直接构建数据库查询时。当攻击者能够通过输入恶意SQL语句来控制或篡改数据库查询,他们就能获取敏感信息、修改数据甚至完全控制系统。《SQL...
sql注入攻击流量情况
07-18
sql注入攻击流量情况
sql注入网站源码
04-09
SQL注入是一种常见的网络安全漏洞,主要出现在使用动态SQL语句构建数据库查询的应用程序中。这个"sql注入网站源码"提供了一个具有SQL注入漏洞的ASP(Active Server Pages)网站实例,对于学习如何检测、防范和修复这...
SQL注入漏洞全接触.ppt
最新发布
11-15
"SQL注入漏洞全接触"知识点总结 一、 SQL注入漏洞的定义和原理 * SQL注入漏洞是指攻击者通过构造特殊的输入,来获取或修改服务器上的敏感数据。 * SQL注入漏洞的原理是从客户端提交特殊的代码,从而收集程序及...
sql注入讲解ppt.pptx
08-10
SQL 注入基础知识点总结 SQL 注入是指 web 应用程序对用户输入数据的合法性没有判断或过滤不严,攻击者可以在 web 应用程序中事先定义好的查询语句的结尾上添加额外的 SQL 语句,在管理员不知情的情况下实现非法...
sql注入字典fuzz
01-11
### SQL注入字典Fuzz详解 #### 一、引言 在网络安全领域,SQL注入攻击是一种常见的威胁方式,它利用数据库应用系统中的漏洞,通过恶意构造的SQL语句来获取敏感数据或对数据库进行非法操作。为了有效地检测和防范...
metinfo 后台sql注入1
08-03
《MetInfo 后台SQL注入漏洞详解》 MetInfo,一款基于PHP和MySQL构建的内容管理系统,因其功能丰富和易于使用而广受欢迎。然而,随着技术的发展,安全问题也日益凸显。本文将深入探讨MetInfo 6.1.0版本中的一个SQL...
DB2数据库SQL注入手册1
08-08
DB2数据库SQL注入手册 DB2数据库SQL注入手册是指在使用DB2数据库时,如何检测和防止SQL注入攻击的一份指南。SQL注入是一种常见的Web应用程序安全漏洞,攻击者可以通过在输入字段中 inject恶意SQL代码来访问或控制...
SQL注入实战
11-20
SQL注入是一种常见的网络攻击技术,攻击者通过在应用程序的SQL命令中插入恶意SQL代码,以达到非法操作数据库的目的。在本例中,安全专家冰河制作了《SQL注入实战》的教程,旨在指导初学者通过实战案例学习和掌握SQL...
sql注入学习(包括sqlilabs安装搭建注入环境步骤以及sqlmap安装操作说明链接地址)
莉莉安的博客
02-04 1万+
SQL注入: 就是把SQL命令插入到Web表单然后提交到所在页面请求(查询字符串),从而达到欺骗服务器执行恶意的SQL命令。 它是利用现在已有的应用程序,将SQL语句插入到数据库中执行,执行一些并非按照设计者意图的SQL语句。 SQL注入可以分为平台层注入和代码注入。前者是由不安全的数据库配置或平台漏洞所致。后者是程序员对输入未进行细致过滤产生 sqlilabs搭建注入环境: Sqli-labs是...
SQL注入---联合查询注入
孤的博客
10-13 936
注入条件 页面有显示位,即在一个网站的正常页面,服务端执行SQL语句查询数据库中的数据,客户端将数据展示在页面中,这个展示数据的位置就叫显示位。 找的注入点→查询列数→找到显示位→获取列中的信息 注入点:http://192.168.1.3:8008/onews.asp?id=45 查询列数 http://192.168.1.3:8008/onews.asp?id=45 order by 猜测的列...
SQL注入——入门篇
个人笔记
07-09 4万+
SQL注入 快捷键 加粗 Ctrl + B 斜体 Ctrl + I 引用 Ctrl + Q 插入链接 Ctrl + L 插入代码 Ctrl + K 插入图片 Ctrl + G 提升标题 Ctrl + H 有序列表 Ctrl + O 无序列表 Ctrl + U 横线 Ctrl + R 撤销 Ctrl + Z 重做 ...
SQL注入攻击与防御(第2版)》百度网盘链接
热门推荐
吴名氏的博客
06-21 16万+
链接:https://pan.baidu.com/s/1lKKE38mEUh5AqNcfOfB6ew 提取码:c8t9 复制这段内容后打开百度网盘手机App,操作更方便哦
SQL注入攻击技术详解
"SQL注入实战教程,涵盖ACCESS、MySQL、SQL SERVER和ORACLE的注入技巧,由讲师闵海钊讲解,内容包括注入点检测、表名和列名的猜解、长度判断等。" SQL注入是一种常见的网络安全攻击手段,攻击者通过在Web应用的输入...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值