⑴ 怎么注入网站
明小子3.6或者啊D都可以的,想学黑客吗?
⑵ 什么是网站注入
所谓网站注入点是程序员SQL语句编写不严谨造成的漏洞。
通过该漏洞可以利用浏览器地址栏执行SQL语句来获取网站的WEBSHELL。
注入点的检测,最常用的方法是在网站ID后面加英文状态下的'号来检测的
例如你网站有这样一个地址:
http://www.youname.com/article.asp?id=1
在ID=1后面加'号:
http://www.youname.com/article.asp?id=1'
如提示“acticle.asp 第xx行出现错误”之类的话,则说明该网站存在SQL注入。
也可以通过在ID后面加对比
http://www.youname.com/article.asp?id=1 and 1=1
http://www.youname.com/article.asp?id=1 and 1=2
如果第一次没有显示错误,而第二次显示了错误,也说明该网站存在SQL注入
转载来的
⑶ 网站注入需要哪些知识
简单的,通过类型识别来防
'SQL安全检测函数
Function CheckStr(str,strType)
Dim strTmp
strTmp = ""
If strType ="s" Then
strTmp = Replace(Trim(str),"'","''")
strTmp = Replace(strTmp,";","")
ElseIf strType="i" Then
If IsNumeric(str)=False Then str=False
strTmp = str
Else
strTmp = str
End If
CheckStr= strTmp
End Function
把这函数放在你页面代码里,你的接收参数可以这样写
<%
yxzy=CheckStr(Request("yxzy"),"s")
%>
上面是指字符串型,如果你的参数是数字型,比方id
<%
id=Request("id")
%>
那么安全的,你可以这么写:
yxzy=CheckStr(Request("yxzy"),"i")
用这个函数就可以过滤sql注入。
复杂的,可以过滤关键字和通过正则表达式来识别
程序可以看到源代码,很适合学习
SQL通用防注入程序 v3.1 最终纪念版
http://js.down.chinaz.com/Z2006O999/%C6%E4%CB%FC%C0%E0%B1%F0/FySqlX3.1.rar
用这个吧``里面有使用说明``很简单的``
neeao.txt文件里有说明,使用方法很简单,,
只要在需要防注入的页面头部用
<!--#Include File="Neeao_SqlIn.Asp"-->
就可以做到页面防注入~~
如果想整站防注,就在网站的一个公用文件中,如数据库链接文件conn.asp中!
添加<!--#Include File="Neeao_SqlIn.Asp"-->来调用本软件
需要注意的是,在添加到数据库连接文件中,为了不和程序发生冲突,
需添加在文件代码的最底部!
⑷ 如何在网页里面注入代码
utf-8的编码吧
首先找到你的备份文件,将TOP,HEAD,FOOT,CONN,之类的常用文件名改个名,稍复杂点他就找不到了,这种注入都是自动批量的注入,没有什么针对性,然后将改过名的文件包含到网页中。
这是治标,治本的话,还是要从程序结构,语句,上传这三块着手。
⑸ 怎么注入网站最好给个实例
最简单的表单注入:一个登陆界面,需要输入用户名和密码。假设数据库对用户名密码的处理为select * from table where name=’"+user+"’and password=’"+passwd+"’"
那么用户名输入xxx,密码输入1’or ’1’= ’1,则sql语句就成为
select * from table where name=’xxx’and password=’1’or’1’=’1’
这样就会列出用户名为xxx的相关数据,注入成功。
⑹ .html的网站怎么注入
就在你要注入的网站后加后缀.html就可以了
⑺ 如何手工注入网站漏洞
以下仅仅是个人思路,仅提供参考... "骨灰级"电脑高手可以无视.. 1.猜表名 and (select count(*) from[表])>0 2.猜字段 and (select count(字段) from 表)>0 3.猜字段长度 and (select top 1 len(admin) from admin)>0 >0,1,2,3,4,5..... 猜帐号长度 and (select top 1 len(password) from admin)>0 >0,1,2,3,4,5..... 猜密码长度 4.猜字段的ASCII值(ACCESS) and (select top 1 asc(mid(admin,1,1)) from admin)>0 猜帐号的第一位 and (select top 1 asc(mid(admin,2,1)) from admin)>0 猜帐号的第二位 .................类推... 另外,如果网站采用的是通用的防止注入的代码,比如在加'时,出现如下的对话筐,可以用注入中转, 在本地搭建一个服务器,再拉啊D跑,在本地跑会很慢.. 也可以用联合查询语句 and 1=2 union select 1,2,3,4******** form admin(表) 当然,前提是可以使用联合查询语句,帐号和密码可以秒杀....... 这只是思路.思路很重要.. 很多高级注入的命令以及错误的处理方式,就不在此罗列了.... 如果需要入侵的站点很强,可以考虑跨站......
求采纳
⑻ 如何对网站进行SQL注入
首先你要了解什么是SQL注入漏洞,SQL注入漏洞就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,比如很多影视网站泄露VIP会员密码大多就是通过WEB表单递交查询字符暴出的,这类表单特别容易受到SQL注入式攻击。
简单来说,网站一般都是由web应用程序,数据库,服务器等组成的,网站的所有用户数据,密码表单等等都是保存在数据库当中的,数据库的内容按到常理来说是只能在服务器内部进行查询,当然,但是,开发人员对客户端用户向客户端提交的参数没有进行过滤,那么,黑客就可以从客户端【浏览器,等等,详细可以学习http协议】向服务器提交查询数据库的SQL语句,如果提交的语句成功的被服务器给接收到并且执行么,那么黑客岂不是想怎么查询数据库里面的内容就怎么查询,不是么?那些管理账号密码,会员数据不是分分钟就到手了?SQL注入漏洞危害是非常大的。
当然,这种漏洞是根据提交参数没过滤而产生的,那么除了浏览器的get提交参数,http协议中还有,post提交,cookie提交,等等。注入漏洞不是网上那些所谓的黑阔,用什么啊D,明小子之类的乱检测一气而找出来的,如果楼主想研究这个漏洞的产生,原理,利用和防御,是需要进行代码审计,SQL注入语句基础,等等。
现在一般常用的工具:SQLmap【这是一款神器,现在是公认最强大的开源注入工具】
建议楼主去看几本书:《SQL注入天书》《SQL注入漏洞的产生与防御》
这个漏洞的利用不是几句话就能说清楚的,详细的可以追问,纯手工打字,望楼主采纳。
⑼ 制作网站时,SQL注入是什么怎么注入法
打个简单的比方吧,我们判断用户登录数据库一般是这样的sql语句:select
*
from
表
where
UserName='"+用户输入的Name+"
and
Pass='"+用户输的pass+"';
如果稍微有一点编程基础的黑客都会在登录框里这样输入:"字符(随便输入字符)
and
1=1"
这是服务器就会进行验证,由于1=1在sql查询语句里是恒等的,那么尽管用户输入的用户名不正确,也能强制进入程序。
不过,这只是一个简单的例子罢了,真正的sql注入也不会这么简单,那些程序员在数据库设计的时候也不会那么傻的没有安全机制。
⑽ 如何注入网站
要看是不是有可注入点,如果没有的话,也是没有办法的!如果有的话,你直接弄一个页面来就OK了!