TuRK0XiJeN
Adminastor
 Mesaj Sayısı : 47
Yaş : 43
Reputation : 0
Points : 1100
Kayıt tarihi : 09/03/09
 |  Konu: Asp'de OR açığı ve Nasıl Kapatılıcağı  Çarş. Mart 11, 2009 9:20 pm | |
| Asp'de OR açığı ve Nasıl Kapatılıcağı Merhaba arkadaşlar, Asp kullanan sitelerde 'or''=' döngüsü "yada" şeklinde algılayıp 1=1 i true haline dönüştürüyor ve kullanıcı adı ve şifresi bölümüne 'or''=' yazdığımızda admin olarak sisteme giriş yapmamızı sağlıyor. Nasıl kapatılır Aşağıda bi login.asp örneği yaptım form.asp - Kod:
-
<form action="login.asp" method="post">
Kullanıcı adı: <input type="text" name="kullanici"><br>
Şifre: <input type="password" name="sifre"><br>
<input type="submit" value="Gönder">
login.asp - Kod:
-
<%
function karaktertemizle(veri )
veri = Replace (veri ,"`","" )
veri = Replace (veri ,"=","" )
veri = Replace (veri ,"&","" )
veri = Replace (veri ,"%","" )
veri = Replace (veri ,"!","" )
veri = Replace (veri ,"#","" )
veri = Replace (veri ,"<","" )
veri = Replace (veri ,">","" )
veri = Replace (veri ,"*","" )
veri = Replace (veri ,"And","" )
veri = Replace (veri ,"'","" )
veri = Replace (veri ,"Chr(34 )","" )
veri = Replace (veri ,"Chr(39 )","" )
karaktertemizle=veri
end function
kullanici=karaktertemizle(Request.Form("kullanici" ) )
parola=karaktertemizle(Request.Form("sifre" ) )
Set kayitseti = server.createobject("adodb.recordset")
sql="select * from uyeler where username='"&kullanici&"' and pass='"&parola&"'"
kayitseti.open sql,baglanti,1,3
İyi çalışmalar dilerim | |
|
