1虚假数据库
说来惭愧,我就曾经这样被耍过。开着个挖掘鸡1.1 成天在网上搜索默认数据库,想轻松进入论坛后门,可是经常下载到假的数据库。比如DVBBS的默认数据库是
http://www.xxx.com/data/dvbbs7.mdb 站长可以把网站使用的数据库的名称改成其他的名字,那这个数据库也就是个荒废的了。别把这个废数据库删了,留着给黑客下载,默认密码admin888还放在里面。当他喜滋滋地下到数据库后,拿到xmd5去破解,然后来喜滋滋地登陆后台的时候才发现被耍了
2虚假注入点
说起SQL注入,玩黑的恐怕没人不知道。有了注入点,这台服务器基本上就要沦陷了。很多网站都做好了注入点的防范工作,已经无法注入了,比如include了防注入程序。可是你想过吗? 给黑客一个可以入侵的假象呢?嘿嘿 明明不能注入,却给他注入的希望,花了N 个小时来提交注入语句,最后无功而返。
以下的代码看好了:
<%
id=Request('id')
sid=right(id,1)
uid=right(id,3)
if sid="'" then Response("SQL语句错误<br>SQL语句后有未闭合的引号")
elseif sid=";" then Response("SQL语句错误<br>SQL语句操作符丢失")
end if
if uid="1=1" then Response("<iframe src="ist.asp?id=1" width=100% height=100% frameboarder=0></iframe>")
elseif uid="1=2" then Response("没有找到相关文章")
else Response("SQL语句错误<br>SQL语法错误!")
end if
%>
不要我解释太多了吧? 就是判断客户提交的参数里有没有 ' 1=1 1=2 这类非法测试字符,然后显示虚假的结果。呵呵 毒吧 绝对把黑客耍死 他一定郁闷地想:明明能注入,怎么成功不了呢??
