bsp;错误 ’80040e14’
[Microsoft][ODBC SQL Server Driver][SQL Server]Line 1: Incorrect syntax near ’’./audit.asp,行18
原来PROMETRIC用的是MSSQL,看来存在严重的注入漏洞(由于涉嫌攻击步骤,此处不详细叙述)。
漏洞原理
SQL注入的漏洞通常是由于程序员对它不了解,设计程序时某个参数过滤不严格所致。就拿刚才测试用的链接中的page_id这个参数来讲,肯定就没有进行过滤检查,源程序中的查询语句如下所示:
Select * From Table Where page_id=’0’
当我们提交http://www.prometric.com.cn/openpage.asp?page_id=页码:[1] [2] [3] [4] [5] [6] 第2页、共6页 |
