不知道怎么想的,忽然之间对网站的SQL 注入感兴趣了.
看了很多文章,也学到了一些注入中通用的手法。
尝试了去注入了很多站点,比如昨天下午半天都用在注入美空网了(连美空网都没听说过?囧rz).
因为美空注册是需要邀请码的,所以一直希望可以把邀请码条件注掉,呵呵
可是,忙活了半天,搞得头昏眼花也没有成功...
今天上午又尝试了下以 http://beautyleg.com/sample.php?no=1 为注入口,去搞beautyleg。
不是报"無法判別相冊編號 !" 就是报"資料庫中找不到指定的相冊!"...
难道注入这么难?
看了一下,beautyleg 用的是 Apache/2.2.3 (Red Hat) 搭配 PHP/5.1.6,数据库应该是mysql了.
如果,每个人都把 magic_quotes_gpc 设成 on,再搞个什么参数过滤.或者都用addslashes() 和mysql_real_escape_string() 来处理一遍,那SQL注入不是干着急嘛???
日啊,别的我不知道.我知道美空网是用java写的.用的是tomcat 4 + Apache-Coyote/1.1 connector.
此外图片等静态资源用的是nginx/0.6.35,所以应该确定是linux服务器无疑了(没有人会蠢到在win上跑nginx吧).
如果jdbc连接数据库用的是预编译语句 preparedstatement,那么像我这样的SQL 注入不是鸟用没有了么?
目前真的很疑惑.
据新闻,一艘中国货船日前在濒临日本海的俄罗斯纳霍德卡港附近被俄军舰开火击沉.外交部今日证实,船上10名中国船员中有3人获救,其余7人失踪.
年轻的中国黑客们为了向俄罗斯表示抗议,为中国船员伸张正义,黑掉了俄罗斯驻上海总领事馆网站,现在网站可以正常访问,但是网站上写满谴责的内容.
点击此处访问:http://www.rusconshanghai.org.cn
下面是网站截图:
这是2.19 22:04 时 我看到的页面:
俄罗斯,!!!!..........";
..........别拿你的手段来挑战我们的大脑......";
"..............叫你击沉我国的货船!.............. ";
"..................老子今天就删除你所有数据!!!................... ";
"..........中华人民共和国........";
"..........万岁........";
"..........我伟大民族永远都是世界上最强的民族........";
"..........没有谁能打败我们........";
"..........因为我们是龙的传人........";
"..........:俄罗斯驻上海领事馆. . . . .........";
"..........┆希望你们能还中国人一个公道.......";
".........................中国人不是好欺负的................................";
"........................ 龙的传人永远都会走在世界的前沿...............................";
"........................ By :★毒蜘蛛☆◢◤┆破瓢◥◣路过...............................";
