Question

网站找不到注入点怎么办

用啊D 明小子对一个指定的网站扫描 扫不到注入点 用旁注也不管用 最可气的是连后台都找不到 我只想拿到后台管理的密码 现在使用ASP的太少了 都是一些没有价值的网站 入侵 用ASP的网站我感觉没意思 有什么用呢只是挂点马 我想挑战一些找不到注入点的网站 高手们有什么方法可以成功入侵不能注入的网站。

Answer 1

所谓注入点就是可以实行注入的地方，通常是一个访问数据库的连接。根据注入点数据库的运行帐号的权限的不同，你所得到的权限也不同。顺便提下注入：随着B/S模式应用开发的发展，使用这种模式编写程序的程序员越来越来越多，但是由于程序员的水平参差不齐相当大一部分应用程序存在安全隐患。用户可以提交一段数据库查询代码，根据程序返回的结果，获得某些他想要知的数据，这个就是所谓的SQLinjection，即：SQL注入。注入点好比化作一条大街.小偷或者流浪汉顺着大街走.发现有一家大门没有关.进去后找到可以拿的东西卖出去.很多网站被黑无非是找到注入点拿到网站后台然后找出管理员账号密码来进行登录.登陆成功后百分之八十都会用到一句话木马.得到网站的webshell.得到了服务器提权后远控. 1 浏览器的地址条
假设 在你写程序的时候有这样的语句
A.ASP?ID=35
程序里sql : Select * from 表 Where id="&id
这里的结果本来是
执行结果sql : Select * from 表 Where id=35
这里 如果 id里的值 并不是35 而是 (35 or 另有用途的SQL语句）那么就会在去执行相应的SQL语句 达到知道数据库里的帐户密码的信息
如：地址栏上在后面 A.ASP?ID=35 or 1=1
则 执行的结果就成了 sql : Select * from 表 Where id=35 or 1=1
如果 黑客用的不仅仅是 or 1=1 还有其他 破坏的语句 把整个表删除都可以
这个是第一种情况
2 通过 登陆筐注入
如 有一个 用户筐和一个密码
判断 数据库中的 SQL语句大多数人是这样写的
Select * from 用户表 Where 用户名=用户名表单提交过来的值 and 密码=用户密码表单提交过来的值
如果黑客 在 用户名中输入 任意字符 如 2323
Select * from 用户表 Where 用户名=2323 and 密码=232 OR 1=1
这样 用户就无条件接受这个数据成立 结果变是最前一条数据 而且经常是最高用户这个也是程序员经常放的错误

Answer 2

人生首先要先会走然后再跑，不然会跌倒的！ 你连asp的都搞不定，还入侵别的。 别的也能入侵，比如php 还有aspx 现在的网站看这是页面是静态 html的网页，其实大部分是 动态生成的，仔细分析代码你会发现有注入点的 如果防注入了，那就想办法搞数据库。 要不就跨站入侵， 入侵 检测 主要是思路，思路要灵活。不然只有思路一条， 还有 一定要只做安全检测，不搞破坏，挂马是 不道德的行为！