문제는 쿼리 문자열의 SQL 명령을 SQL 명령에 연결한다는 것입니다.
아마도 코드는 말한다
"select * from preview where ID=" + Request.QueryString["id"]
같은 당신이 그것을 쿼리 문자열하는 EG
select * from preview where ID=611111161 and 1=0
UNION ALL
SELECT 1,2,3,4,password,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,27,28,29,30,31,32,33,34,35,36,37,38,39,40,41,42,43,44,45,46,47,48,49,50,51,52,53,54,55,56,57,58,59,60,61,62,63,64,65,66,67,68,user=id,70,71
FROM admin
이되는 것을 사용하면 : 그는 당신의 관리자 계정 로그인이 미리보기 페이지에 표시 만들어졌다.
사용자로부터받은 모든 입력을 SQL에서 이스케이프 처리하거나 매개 변수가있는 쿼리를보다 잘 사용하도록 서버에서 처리해야합니다. SQL 서버의 언어 나 유형을 알지 못하면 실제로 어떤 코드의 방향으로 당신을 가리킬 수 없습니다.
사용자 입력을 신뢰하지 마십시오. 필터링되지 않은 사용자 입력을 절대로 표시하지 마십시오. 더 이상 사이트를 만들기 전에 기본 웹 사이트 보안을 읽어보십시오. 일부 다른 사이트는 취약한 사이트입니다. – llamaoo7
나는 이것에 대해 연구하지 않았다. 그것은 동료 개발자인데, 중학교 였지만 지금까지는 내 사이트가 전혀 취약하지 않았 음을 감사한다. – Sarfraz
블로그에서 귀하의 사이트 중 임의의 하나를 선택하여 약 XSS 익스플로잇을 발견했다. 3 분. – llamaoo7