昨晚拿了某一企業后臺試了一下.可能版本是比較老的.但是我發現得還比較多.都是有關于'or'='or'這個比較老的漏洞.

百度搜索引擎:企業網站后臺管理系統登陸.會搜到很多.

而且我還發現一個比較可笑的站.可是是管理意識強了過頭了吧.

進入的第一個界面,如圖:

看來是一個分支權限的后臺管理.我們要的是admin權限.點總管理員管理的時候會有一腳本提示,請輸入密碼.如圖:

做過網站的朋友都知道吧.真正的密碼已經躺在這個頁面里了.

我把這個界面下了回來!腳本內容如下:

大家看到了吧.在if語句這段.if (pass1 == "administrator") pass1說明這只有一個總管理員.而且pass后面跟著administrator.分明就是密碼.真的是此地無銀三百兩.輸入.提示如圖:

if (pass1 == "administrator") {

alert('密碼正確!')

輕松突破腳本密碼驗證.

點擊確定.出現了了:企業網站后臺管理系統登陸.

如圖:

下面就開始演變最古老的登陸漏洞.用戶名:'or'='or'密碼:'or'='or'.

如圖:

網址我就不抓出來了.只是提供研究學習.難免有些人一肚子的壞水.

昨晚剛發現的時候,我讓兄弟給它寫了幾句:

請管理員們引起高度重視.