TGFC Lifestyle - Powered by Discuz! Board

标题: [家电] 这里有没有sql数据库达人？（网页注册相关） [打印本页]

作者: 胜利11人 时间: 2010-8-7 10:38 标题: 这里有没有sql数据库达人？（网页注册相关）

今天看我的网页，打开sql2000，发现一个全部为<NULL>的用户，md5的密码其实也是空的，什么都是空，除了注册时间。应该是sql被注入了还是怎么回事捏，注册时候过滤我都写了。还包括了注册账号密码长度。为何还会出现NULL的用户名和密码呢。

作者: kevan 时间: 2010-8-7 11:36

posted by wap, platform: Opera

你确定是注册的漏洞？而不是其他页面的漏洞？

作者: 夜神光 时间: 2010-8-7 11:36

如果是注入的话，你按着注册时间查IIS日志，能把他搜出来，还有注入页面也能找到
也有可能是管理员SQL上查看用户表时不小心点了下，就最底下那行，就成新建了，由于没有对用户密码作为必填项，很可能就这么创建了

作者: 胜利11人 时间: 2010-8-7 12:25

引用:

原帖由 kevan 于 2010-8-7 11:36 发表
posted by wap, platform: Opera

你确定是注册的漏洞？而不是其他页面的漏洞？

其他页面都是html静态的。其实我也对网页不是很懂。但是其他网页没办法连接数据库吧。

作者: 胜利11人 时间: 2010-8-7 12:27

引用:

原帖由 夜神光 于 2010-8-7 11:36 发表
如果是注入的话，你按着注册时间查IIS日志，能把他搜出来，还有注入页面也能找到
也有可能是管理员SQL上查看用户表时不小心点了下，就最底下那行，就成新建了，由于没有对用户密码作为必填项，很可能就这么创建了

可惜我没有弄iis，只是弄了一个建议的asp服务器的程序。小旋风什么的。我一般不会点到啦，因为数据库都不会去动的，不过谢谢你的提醒，我去试试看。大家都什么猜测都可以说下，嘿嘿。

作者: 胜利11人 时间: 2010-8-7 12:30

对了那个什么都是null的是半夜产生的，我半夜都在睡觉呢 - -！而且密码已经经过md5转换了。估计是那里注册或者怎样导入数据库的吧。

[ 本帖最后由胜利11人于 2010-8-7 12:32 编辑 ]

作者: 大头木 时间: 2010-8-7 12:55

同时查看数据库日志和网页日志喽

数据库的用户名和密码不是应该设计为不允许为空咩

作者: 多蒙 时间: 2010-8-7 13:26

posted by wap

ASP？没法彻底防注入，整J2EE+hibernate，嫌麻烦学下PHP吧

作者: 胜利11人 时间: 2010-8-7 13:26

引用:

原帖由 大头木 于 2010-8-7 12:55 发表
同时查看数据库日志和网页日志喽

数据库的用户名和密码不是应该设计为不允许为空咩

数据库日志只有启动数据库的日志，没有任何其他说明，网页没有日志 - -

用户名密码不知道为何都允许为空奇怪啊！

作者: 利露 时间: 2010-8-7 15:17

posted by wap, platform: GoogleChrome

你的数据库日志多大啊？

作者: 比卡丘 时间: 2010-8-8 09:53

posted by wap, platform: UC

老大……你这是不会是看到企业管理器打开表最后一条吧？用查询分析器看看有没有这一条？

如果不是，关掉cmdshell,工具检查网站所有目录是否有攻击代码，加强完善权限分配，和黑客要长期斗争。

给你这表用户名密码两个字段设成not null

作者: 七粒尘 时间: 2010-8-8 11:01

呃，LZ应该没有那么低能。。每个表最后都一条空的。。。当然是不存在的

字段设成NOT NULL应该好使。。

作者: 胜利11人 时间: 2010-8-8 12:26

我设定不为空，居然告诉我，数据库该字段无法设置not null是怎么回事捏。

作者: 胜利11人 时间: 2010-8-8 12:46

原来里面已经有空值，所以不可以。- -！

现在把允许为空的那个true改成flase看看。

作者: 胜利11人 时间: 2010-8-8 12:50

cmdshell是虾米

我是菜鸟

作者: Lucifer6E 时间: 2010-8-8 15:53

当初靠SQL注入把整个久游劲乐团的服务端都搞下来了~还刷了好多M币卖钱咧~这两年这方法就不流行了~

欢迎光临 TGFC Lifestyle (http://club.tgfcer.com/)