仲介交易 HTTP://www.aliyun.com/zixun/aggregation/6858.html">SEO診斷 淘寶客 雲主機 技術大廳
我做了一個網站,算是個人主頁吧,雖不是以個人名義,但確實僅自己一個人做這個事,我的站有一套後臺系統,用ASP寫成的,主機用的萬網的,但昨天我一上網,發現我的調查被改了,我還以為是我自己輸入錯了。 趕忙改回來,不過過一會兒看又被改啦,還改得更厲害:調查是,問我寫的一個軟體是否有用,我準備的答案是:
很有用,有所説明,完全沒有用,
他給我改成了:很沒用,有什麼説明?完全沒用。
還有,我有一個字幕,說我的軟體好,我自己當然說自己好啦,他竟給我搞成了這是一堆雜草,不過網上需要有一些雜草的,還有一些人身攻擊的話!
還改了我的一些欄目名,我氣慘了。
因為我的網站用後臺系統來控制的,所以我猜他是進入了後臺。
我在站上的一個子目錄中放了一個後臺的演示程式,而ASP頁面驗證是否為合法的使用者是用判斷一個存有密碼的SESSION是否為空來實現的,所以只要先進子目錄進入演示用的後臺,再輸入網站後臺的檔案名就可能進入, 於是我把演示的程式全刪了,但我發現他仍在搞破壞!
我早聽說過用特殊的代碼做密碼,但我沒試過,也沒在意,更沒有去想過要這樣進別人的後臺,我想他是不是用的這樣的方法呢?所以連夜改程式,我想他一定會再來,就放了個檢測IP的程式,和檢查他輸入的內容的程式, 結果發現他竟是在密碼中輸入了一個 'or''=' 進的我的網站,我自己也試了一個,果然進得,
於是馬上開工,讓每一個頁面驗請密碼都要與庫中的密碼比較,終於,他沒能進來了!又完善了記錄日誌,記下了「攻擊」類型,時間,IP,輸入的字元,管理員進入的時間,IP等。 在我的記錄日誌上,留下了那位朋友的豐功偉績,他用 ' 用 'or'= 用 'or。
本文由www.zydn.net提供
Start building with 50+ products and up to 12 months usage for Elastic Compute Service
1 on 1 presale consultation
24/7 Technical Support 6 Free Tickets per Quarter Faster Response
Alibaba Cloud offers highly flexible support services tailored to meet your exact needs.
A comprehensive suite of global cloud computing services to power your business
Payment Methods We Support
