来源:自学PHP网 时间:2015-04-17 11:59 作者: 阅读:次
[导读] 某日,很无聊,就去看综艺节目了,扯淡的节目,只有无聊的时候才会去看,刚好排在第一位的是江苏卫视的非诚勿扰,话说我还没有女朋友,就去看看吧最后一位男嘉宾刚好是山东的...
|
某日,很无聊,就去看综艺节目了,扯淡的节目,只有无聊的时候才会去看,刚好排在第一位的是江苏卫视的非诚勿扰,话说我还没有女朋友,就去看看吧…
最后一位男嘉宾刚好是山东的,被台上的24位女嘉宾都给pass了,但是跟飘柔爱转角的女生牵手成功了,恰恰也是山东。然后就想对爱转角的女生了解一下,百度之。
打开后看到是一个flash网站,页面也不多,就是简单的介绍和报名,然后习惯性的在网址后面加了admin
真的是习惯,没有别的意思,也没抱有任何希望。后台的登录页面竟然出现了,七分技术,三分运气,一点都没错,呵呵。
(在发表此文章的时候,网站已经修改了默认后台地址。)那就尝试一下弱口令吧,无果,这么大的网站,再弄个弱口令,岂不是对用户的不负责呢?
输入单引号,竟然报错了…
 跟某基友讨论了一下,有戏,根据报错提示,利用万能密码 admin’or’1=1
如果密码=输入的密码,那么登陆成功,把admin' or '1'='1带入即“如果密码=1或者1=1那么登成功”由于1=1恒成立,
且“密码=1”与“1=1”是逻辑或的关系,则整句为TRUE,即登陆成功。
在后台可以查看所有报名非诚勿扰爱转角的女生,包括姓名,手机,照片等等...来张图吧~
 粗略估计了一下,大概3000条数据吧...没有再进行下一步动作。
然后就通知了飘柔爱转角的官方微博,也没回应我...直接不鸟我~
好吧,或许是你妈妈没有教育好你,连声谢谢都不会说,或许是你们不敢承认面对,难道把裤子给你们脱了,你们才出来吱一声?
面对这样的厂商,要狠狠的批评一下,根本不在乎用户的资料。
|
自学PHP网专注网站建设学习,PHP程序学习,平面设计学习,以及操作系统学习
京ICP备14009008号-1@版权所有www.zixuephp.com
网站声明:本站所有视频,教程都由网友上传,站长收集和分享给大家学习使用,如由牵扯版权问题请联系站长邮箱904561283@qq.com
