偶然在网上看到了开心网址程序注入漏洞一篇文章,才发现两年前刚学asp练手的程序祸害了不少人,真是感到很内疚。当时只是从网上得到一个程序然后修改了一下,就发布了,后来又自己改成了生成html版的,也是现学现卖,根本还不知道有sql注入这种事。后来由于好多事,就没再继续学习asp,当初的网站也没了,域名到期后也被别人注走了。:( 从搜索引擎搜到了两年前作过的程序,重新整理了一下,因为以前叫做v2.2,那这个就叫v3.0好了 主要更新如下 1.去除了一些杂七杂八的功能,改变了一下界面(模版是从网上下载的,出处不详,对原作者表示感谢) 2.对后台密码进行了md5加密,加入了Neeao的SQL通用防注入系统3.0(asp),可以封注入者的ip。 我还是个asp初学者,用这个程序的应该也是初学者,所以不免会有很多漏洞,希望高手们能够指点一下,而不是只去破坏。 套用一句第一次发布程序v1.0的广告 (从搜索引擎上搜出来的 :) ): [开心网址基本上可以摈弃枯燥的html修改,所有主要信息都能在后台轻松设置,即使你不懂html语言和asp语言,也能轻松架构网址站。] 初始超级管理员 admin 密码 admin 初始管理登陆地址http://你的域名/admin/index.asp 为了网站安全,发布前一定要做的事: 1.修改后台管理文件夹名(admin文件夹) 2.修改数据库地址(data文件夹和#data.asp文件) 3.将mdb.asp中的数据库地址改为修改后的数据库相对于根目录的地址,sessionvar改为任意字符 4.修改sql文件夹中Neeao_sql_admin.asp文件里的管理密码(第三行),用于后台管理那些封住的ip 以前有的一些功能: 1. 可以设置网址站的名称,地址,信箱,管理员,88*31 LOGO图片,首页180*60 LOGO图片,关键字,网站描述,首页公告等基本信息。 2. 广告信息管理功能所有广告都可以通过开关设置显示或隐藏。广告类型支持图片,flash,js代码,以及自写代码。 3. 首页的各个栏目的链接都可以从后台进行添加,删除或者修改的管理。 4. 数据库管理功能,可以在线备份,恢复,压缩数据库,以及用Sql语句批量处理数据。  5. 附留言本及访问统计功能。 6. 超级管理员功能,可以增加高级管理员和数据输入员,各有不同功能限制。 7. 支持网址二级分类,管理员可以后台对类别,网址进行添加,删除,修改和审核管理。 8. 可以设置登录模式为自助登录或邮箱登录.  9. 生成html功能,审核新入网址后请更新网址列表,并按分类重新生成html网页。 10.首页设滚动的友情Logo链接,可以后台进行添加,删除和修改管理。 新申请的域名:http://www.happywz.com  我的QQ:684662 我的邮箱:684662@qq.com
|