⑴ 怎麼注入網站
明小子3.6或者啊D都可以的,想學黑客嗎?
⑵ 什麼是網站注入
所謂網站注入點是程序員SQL語句編寫不嚴謹造成的漏洞。
通過該漏洞可以利用瀏覽器地址欄執行SQL語句來獲取網站的WEBSHELL。
注入點的檢測,最常用的方法是在網站ID後面加英文狀態下的'號來檢測的
例如你網站有這樣一個地址:
http://www.youname.com/article.asp?id=1
在ID=1後面加'號:
http://www.youname.com/article.asp?id=1'
如提示「acticle.asp 第xx行出現錯誤」之類的話,則說明該網站存在SQL注入。
也可以通過在ID後面加對比
http://www.youname.com/article.asp?id=1 and 1=1
http://www.youname.com/article.asp?id=1 and 1=2
如果第一次沒有顯示錯誤,而第二次顯示了錯誤,也說明該網站存在SQL注入
轉載來的
⑶ 網站注入需要哪些知識
簡單的,通過類型識別來防
'SQL安全檢測函數
Function CheckStr(str,strType)
Dim strTmp
strTmp = ""
If strType ="s" Then
strTmp = Replace(Trim(str),"'","''")
strTmp = Replace(strTmp,";","")
ElseIf strType="i" Then
If IsNumeric(str)=False Then str=False
strTmp = str
Else
strTmp = str
End If
CheckStr= strTmp
End Function
把這函數放在你頁面代碼里,你的接收參數可以這樣寫
<%
yxzy=CheckStr(Request("yxzy"),"s")
%>
上面是指字元串型,如果你的參數是數字型,比方id
<%
id=Request("id")
%>
那麼安全的,你可以這么寫:
yxzy=CheckStr(Request("yxzy"),"i")
用這個函數就可以過濾sql注入。
復雜的,可以過濾關鍵字和通過正則表達式來識別
程序可以看到源代碼,很適合學習
SQL通用防注入程序 v3.1 最終紀念版
http://js.down.chinaz.com/Z2006O999/%C6%E4%CB%FC%C0%E0%B1%F0/FySqlX3.1.rar
用這個吧``裡面有使用說明``很簡單的``
neeao.txt文件里有說明,使用方法很簡單,,
只要在需要防注入的頁面頭部用
<!--#Include File="Neeao_SqlIn.Asp"-->
就可以做到頁面防注入~~
如果想整站防注,就在網站的一個公用文件中,如資料庫鏈接文件conn.asp中!
添加<!--#Include File="Neeao_SqlIn.Asp"-->來調用本軟體
需要注意的是,在添加到資料庫連接文件中,為了不和程序發生沖突,
需添加在文件代碼的最底部!
⑷ 如何在網頁裡面注入代碼
utf-8的編碼吧
首先找到你的備份文件,將TOP,HEAD,FOOT,CONN,之類的常用文件名改個名,稍復雜點他就找不到了,這種注入都是自動批量的注入,沒有什麼針對性,然後將改過名的文件包含到網頁中。
這是治標,治本的話,還是要從程序結構,語句,上傳這三塊著手。
⑸ 怎麼注入網站最好給個實例
最簡單的表單注入:一個登陸界面,需要輸入用戶名和密碼。假設資料庫對用戶名密碼的處理為select * from table where name=』"+user+"』and password=』"+passwd+"』"
那麼用戶名輸入xxx,密碼輸入1』or 』1』= 』1,則sql語句就成為
select * from table where name=』xxx』and password=』1』or』1』=』1』
這樣就會列出用戶名為xxx的相關數據,注入成功。
⑹ .html的網站怎麼注入
就在你要注入的網站後加後綴.html就可以了
⑺ 如何手工注入網站漏洞
以下僅僅是個人思路,僅提供參考... "骨灰級"電腦高手可以無視.. 1.猜表名 and (select count(*) from[表])>0 2.猜欄位 and (select count(欄位) from 表)>0 3.猜欄位長度 and (select top 1 len(admin) from admin)>0 >0,1,2,3,4,5..... 猜帳號長度 and (select top 1 len(password) from admin)>0 >0,1,2,3,4,5..... 猜密碼長度 4.猜欄位的ASCII值(ACCESS) and (select top 1 asc(mid(admin,1,1)) from admin)>0 猜帳號的第一位 and (select top 1 asc(mid(admin,2,1)) from admin)>0 猜帳號的第二位 .................類推... 另外,如果網站採用的是通用的防止注入的代碼,比如在加'時,出現如下的對話筐,可以用注入中轉, 在本地搭建一個伺服器,再拉啊D跑,在本地跑會很慢.. 也可以用聯合查詢語句 and 1=2 union select 1,2,3,4******** form admin(表) 當然,前提是可以使用聯合查詢語句,帳號和密碼可以秒殺....... 這只是思路.思路很重要.. 很多高級注入的命令以及錯誤的處理方式,就不在此羅列了.... 如果需要入侵的站點很強,可以考慮跨站......
求採納
⑻ 如何對網站進行SQL注入
首先你要了解什麼是SQL注入漏洞,SQL注入漏洞就是通過把SQL命令插入到Web表單提交或輸入域名或頁面請求的查詢字元串,最終達到欺騙伺服器執行惡意的SQL命令,比如很多影視網站泄露VIP會員密碼大多就是通過WEB表單遞交查詢字元暴出的,這類表單特別容易受到SQL注入式攻擊。
簡單來說,網站一般都是由web應用程序,資料庫,伺服器等組成的,網站的所有用戶數據,密碼表單等等都是保存在資料庫當中的,資料庫的內容按到常理來說是只能在伺服器內部進行查詢,當然,但是,開發人員對客戶端用戶向客戶端提交的參數沒有進行過濾,那麼,黑客就可以從客戶端【瀏覽器,等等,詳細可以學習http協議】向伺服器提交查詢資料庫的SQL語句,如果提交的語句成功的被伺服器給接收到並且執行么,那麼黑客豈不是想怎麼查詢資料庫裡面的內容就怎麼查詢,不是么?那些管理賬號密碼,會員數據不是分分鍾就到手了?SQL注入漏洞危害是非常大的。
當然,這種漏洞是根據提交參數沒過濾而產生的,那麼除了瀏覽器的get提交參數,http協議中還有,post提交,cookie提交,等等。注入漏洞不是網上那些所謂的黑闊,用什麼啊D,明小子之類的亂檢測一氣而找出來的,如果樓主想研究這個漏洞的產生,原理,利用和防禦,是需要進行代碼審計,SQL注入語句基礎,等等。
現在一般常用的工具:SQLmap【這是一款神器,現在是公認最強大的開源注入工具】
建議樓主去看幾本書:《SQL注入天書》《SQL注入漏洞的產生與防禦》
這個漏洞的利用不是幾句話就能說清楚的,詳細的可以追問,純手工打字,望樓主採納。
⑼ 製作網站時,SQL注入是什麼怎麼注入法
打個簡單的比方吧,我們判斷用戶登錄資料庫一般是這樣的sql語句:select
*
from
表
where
UserName='"+用戶輸入的Name+"
and
Pass='"+用戶輸的pass+"';
如果稍微有一點編程基礎的黑客都會在登錄框里這樣輸入:"字元(隨便輸入字元)
and
1=1"
這是伺服器就會進行驗證,由於1=1在sql查詢語句里是恆等的,那麼盡管用戶輸入的用戶名不正確,也能強制進入程序。
不過,這只是一個簡單的例子罷了,真正的sql注入也不會這么簡單,那些程序員在資料庫設計的時候也不會那麼傻的沒有安全機制。
⑽ 如何注入網站
要看是不是有可注入點,如果沒有的話,也是沒有辦法的!如果有的話,你直接弄一個頁面來就OK了!