logo
吉林市领域网络-阳光科技有限公司
服务电话:13843226952
 
工作时间:周一至周六:8:30-5:00  周日可联系客服QQ
   
  建站咨询㈠ 建站咨询㈡ 售后服务 空间域名  
关于阳光,吉林市网站建设,吉林市网站制作,网络公司
 当前位置:本站首页 >>> 技术中心

ASPX网站漏洞

日期:2012-12-21    来自:吉林市阳光网络科技有限公司   作者:Admin   去百度查找  去Google查找

  1.通常会注册个用户

  第一选择利用上传判断的漏洞 加图片头GIF89A 顺利饶过

  2、第二种就是注入了, 在?id=xx后加单引号“'”

  一般情况下 用NBSI 啊D来SCAN 都可以发现BUG页面

  而且国内大多.net都是使用MSSQL数据库

  发现注入点也可以从login下手 其实这个方法目前的成功率在75%

  3、不过遇到搜索型的,和没错误信息回显的时候 在这里就卡住了

  大家可以看看网上一篇 搜索型注入的文章 运气好,数据库和WEB在一起

  直接在搜索里写备份LOG语句 如果输入框限制字符 可以本地做个POST表单

  也可以用WsockExpert抓包 对search.aspx?后的值分析后加注入语句

  获取路径就更好办了 只要web.config里

  代码如下:

  <!– Web.Config 配置文件 –>

  <configuration>

  <system.web>

  <customErrors mode=”On”/> ‘这里为off就失败

  </system.web>

  </configuration>

  那么只需要在任意一个文件名前

  如allyesno.aspx 改为~allyesno.aspx 顺利获得WEB绝对路径

  4、运气好,发现登陆后台:

  比如:http:.//xx.com/admin/login.aspx

  如果输入密码错误返回到http:.//xx.com/admin/error.aspx

  如果输入http:.//xx.com/admin%5Cindex.aspx说不定可以饶过验证。

  5、后台饶过方法:

  ‘or”=’

  ‘or”=’

  或者

  ‘or’='or’

  ‘or’='or’

  6,net1.0爆路径

  在网站地址 最后一个/ 后加’ 可爆出网站路径

  如:http:.//abc.com/aspx?id=1 就加成 http:.//abc.com/’aspx?id=1 可出爆路

  net2.0以上无此漏洞

吉林网站建设

 
上一篇:一个简短的android病毒
下一篇:消除重复数据删除的四大误区
  阳光新闻 更多>>>
吉林网站建设_吉林网页制作-阳光新闻
2017年国庆中秋放假安排
2017年国庆中秋放假安排
2017年春节放假通知
2016年10月1日放假通知
2016年春节放假通知
2016年元旦放假通知
  招贤纳士 更多>>>
诚招吉林市网站建设商务经理
招聘吉林市网站建设技术员
公司招收吉林市网站开发学员
因业务发展需要特诚聘商务代表
  网站建设专题 更多>>>
阳光科技为您提供网站改版服务
什么样的网站最受访客喜欢?
吉林市网站建设形式与内容应统一
网站管理与团队经营的秘诀
优质的单页网站如何创建
优秀的单页网站建设的标准和原则
开发网站前的规划内容
 
Copyright © 2008-2017 www.jlsyg.com, All Rights Reserved    
地址:吉林省吉林市船营区北奇城市广场A座702室   联系电话:13843226952  联系人:王经理
ICP备案号:吉ICP备10003760号   技术支持:吉林网站建设
打造最好的吉林网络公司!我们为您提供高品质的吉林网站建设吉林市网站建设吉林网站制作吉林网页制作吉林网站优化吉林seo服务!