查看: 2523|回复: 3

希望有大神能解答一下这个SQL注入问题

[复制链接]
  • TA的每日心情

    2016-2-20 11:24
  • 签到天数: 20 天

    [LV.4]偶尔看看III

    发表于 2016-1-29 11:20:56 | 显示全部楼层 |阅读模式
    悬赏5i币已解决

            学了一点SQL注入,想找一个网站实战一下。。。
            http://www.uyjsh.com/News/Detail.aspx?c=1139
    然后找到一个没什么 防火墙的网站,可是出现这种状况还是第一次见,不知各路大神应该如何处理?
    输出'出现异常。

    QQ图片20160129111105.png

    于是可能会有注入点

    然后输入 and 1=1
    QQ截图20160129111126.png

    没想到and 1=1 和 and 1=2 输出结果都是一样。。。。
    字符串错误,好吧也许这个参数字符型的
    那我就试试字符串参数吧

    QQ截图20160129111159.png

    但是字符串也不行,依然是和上面一样的异常。字符串错误。

    现在有点不明白,究竟是为什么这样?
    希望大神解释解释?
    是他们用了参数化查询做了防御还是说这个参数根本没经过数据库?还是说应该使用'%%'这样的符号?还是有其他方法吗?

    最佳答案

    查看完整内容

    没过滤,但是他把string转换成int了,换言之就是你输入所有字符串都会转化成数字。
    回复

    使用道具 举报

  • TA的每日心情
    无聊
    2017-9-11 15:40
  • 签到天数: 425 天

    [LV.9]以坛为家II

    发表于 2016-1-29 11:20:57 | 显示全部楼层
    没过滤,但是他把string转换成int了,换言之就是你输入所有字符串都会转化成数字。

    点评

    我看见了。后来我自行看了一下异常输出,明白了。 行 23: BindData(Convert.ToInt32(Request["id"]),"1"); 谢谢!  详情 回复 发表于 2016-1-29 15:17
    回复

    使用道具 举报

    头像被屏蔽
  • TA的每日心情
    慵懒
    2016-2-28 17:24
  • 签到天数: 72 天

    [LV.6]常住居民II

    发表于 2016-1-29 12:10:56 | 显示全部楼层
    提示: 作者被禁止或删除 内容自动屏蔽
    回复

    使用道具 举报

  • TA的每日心情

    2016-2-20 11:24
  • 签到天数: 20 天

    [LV.4]偶尔看看III

     楼主| 发表于 2016-1-29 15:17:17 | 显示全部楼层
    wuyan 发表于 2016-1-29 14:24
    没过滤,但是他把string转换成int了,换言之就是你输入所有字符串都会转化成数字。 ...

    我看见了。后来我自行看了一下异常输出,明白了。
    行 23:                 BindData(Convert.ToInt32(Request["id"]),"1");
    谢谢!
    回复

    使用道具 举报

    您需要登录后才可以回帖 登录 | 注册

    本版积分规则

    指导单位

    江苏省公安厅

    江苏省通信管理局

    浙江省台州刑侦支队

    DEFCON GROUP 86025

    旗下站点

    邮箱系统

    应急响应中心

    红盟安全

    联系我们

    官方QQ群:112851260

    官方邮箱:security#ihonker.org(#改成@)

    官方核心成员

    Archiver|手机版|小黑屋| ( 苏ICP备2021031567号 )

    GMT+8, 2024-11-25 04:51 , Processed in 0.031407 second(s), 17 queries , Gzip On, MemCache On.

    Powered by ihonker.com

    Copyright © 2015-现在.

  • 返回顶部