1.SQL注入
某BeeLogin搭建的网站 采用GET明文传输各种信息
登录:http://你的网址/login.php?username=用户名&psd=密码
退出:http://你的网址/quit.php?username=用户名的MD5&ip=用户ip的两次MD5
我来简单的说明一下 怎么注入
这个登录系统采用数据库记录用户名和密码
例如 管理员的ID是:admin 但是你不知道密码,就输入'1' or '1'=1'
那么例如原本网站查询数据库的SQL语句是:
SELECT T.* FROM XXX_TABLE TWHERE T.USER_ID = '/*param1*/'AND T.PASSWORD = '/*param2*/'
注入之后 SQL语句就被转义了:
SELECT T.* FROM XXX_TABLE TWHERE T.USER_ID = 'admin'AND T.PASSWORD = '1' or '1'='1'
也就是 从 数据库的账户和密码的匹配条件已经被打破了
只要1=1条件成立 就登录成功
那指定的管理员就被登录了 可能会被黑客利用 搞破坏,说不定。
这个只是最简单的一个注入方法,真正的注入还不仅仅只是游戏被提权 说不定整个服务器被挂马 瘫痪 都有可能
这样不仅数据丢了 服务器也毁了
2.站点被C
由于CC的成本极低,且威力很大,只要是站点 都有被C的可能。
如果你们只是为了防止小学生的假人压测 换来会被C的可能 那可就亏大了。
CC的危害:
1.站点服务器瘫痪
2.服务器流量耗尽 或者流量超额被欠费
3.服务器被大流量攻击 被机房拉入黑名单
计算机安全和黑客技术之间的斗争是无尽止的,这两个算是最简单的手段了,其实还有更多平时人们不注意到的很多安全隐患。
我发这个帖子就是为了大家提高警惕!
纯手打 不容易 加点金粒或人气吧!
我来简单的说明一下 怎么注入
这个登录系统采用数据库记录用户名和密码
例如 管理员的ID是:admin 但是你不知道密码,就输入'1' or '1'=1'
那么例如原本网站查询数据库的SQL语句是:
SELECT T.* FROM XXX_TABLE TWHERE T.USER_ID = '/*param1*/'AND T.PASSWORD = '/*param2*/'
注入之后 SQL语句就被转义了:
SELECT T.* FROM XXX_TABLE TWHERE T.USER_ID = 'admin'AND T.PASSWORD = '1' or '1'='1'
也就是 从 数据库的账户和密码的匹配条件已经被打破了
只要1=1条件成立 就登录成功
那指定的管理员就被登录了 可能会被黑客利用 搞破坏,说不定。
这个只是最简单的一个注入方法,真正的注入还不仅仅只是游戏被提权 说不定整个服务器被挂马 瘫痪 都有可能
这样不仅数据丢了 服务器也毁了
2.站点被C
由于CC的成本极低,且威力很大,只要是站点 都有被C的可能。
如果你们只是为了防止小学生的假人压测 换来会被C的可能 那可就亏大了。
CC的危害:
1.站点服务器瘫痪
2.服务器流量耗尽 或者流量超额被欠费
3.服务器被大流量攻击 被机房拉入黑名单
计算机安全和黑客技术之间的斗争是无尽止的,这两个算是最简单的手段了,其实还有更多平时人们不注意到的很多安全隐患。
我发这个帖子就是为了大家提高警惕!
纯手打 不容易 加点金粒或人气吧!