万能密码漏洞以及修复

　　万能密码漏洞以及修复

　　记得几年前要入侵一个企业网站超级简单

　　一般只需要找到后台 还有后台通常是www.xxx.com/admin/

　　然后账号 密码都是'or'='or' 就进去

　　现在好像有几个也可以用 但是已经没那么普及了

　　如果网站还出现这种“万能密码”漏洞该怎么办呢

　　'or'='or' 漏洞修复 方法有很多在这里介绍两种，咱们使用第2种

　　方法1: replace过滤字符

　　解决方法:查找login.asp下的

　　username=request.form("name")

　　pass=request.form("pass")

　　修改为：

　　username=replace(request.form("name"), "'", "''")

　　pass=replace(request.form("pass"), "'", "''")

　　语法是屏蔽'和''字符来达到效果.

　　方法2：在conn.asp 内加入处理 ssi 文件时出错

　　注：(前提 登陆页面有处理 ssi 文件时出错
)

　　把以下代码保存为safe.asp

　　下面是程序代码********************************************************

　　防注意入也可以用这段代码。。。

　　希望可以给你带来帮助