|
(图27)
当然啊江统计系统还有其它的注入点,这就不是今天要谈的话题了.
一套开源系统的代码存在着如此诸多的洞,我想这也是国内网站系统代码抄袭的恶果,搬来搬去,却是搬来网尽天下人的痛!!!!!
|
华夏点评:
可以说文章写的越来越详细了,技术含量也越来越有提升了。作者作为本公司的一个VIP会员,可以说是众多VIP中成绩比较突出的。国内的CMS内容管理系统的现状大家都很清楚,我们进行源码剖析并不是要针对某个系统进行评价,只是从技术的角度上来提醒大家注意,也提醒各位程序员能够注意一下,从多方面考虑程序的布局、开发!
写在最后,评测员jahn还给大家留了几个小知识点让大家进行讨论交流,算是对知识进行一下串联吧,大家可以到论坛参与本篇文章的讨论,或点击下面的留言参与讨论。几个小知识点如下:
1、数字型注入漏洞与字符型注入漏洞的产生原理及区别;
2、文章中讲到了“session验证的漏洞”知识点,但未进行分析,本频道有关于这个知识点的相关文章,希望大家能够进行接下去的分析;
3、常用的几款注入工具分别有什么特长,不同的环境下应该使用哪一款?
4、文中提到了防注入代码,防注入的基本语句有哪些?流行的防注入文件有哪些,它们有什么漏洞?(这个更倾向于网管知识)
5、文中在讲到后台的利用时,用到了这样一句“%><%Eval(Request(chr(112)))%><%”,为什么要在前后多加上两个百分号?还有哪些类似的方法?
6、文中提到在上传.cer,.cdx等类型文件是,服务器要么不解析,要么提示下载,这是服务器进行了哪些配置?
7、文章最后在研究“啊江统计系统”的时候用到了这样一句“Eval(request(chr(112)))”为什么这里没有使用<% %>?什么情况下需要,什么情况下不需要?
8、“啊江统计系统”还有哪些可利用的漏洞?
您有三种获得这些问题答案的方式:
·论坛参与讨论 ·文章评论参与讨论 ·安全专家答疑,获得更深入、详细、系统的知识 |
|
版权声明:转载请注明来自于“华夏黑客同盟”,否则将追究法律责任。 |
上一页 [1] [2] [3] [4] [5] [6] [7] [8] [9] |
