高分跪求：求这个网站的”注入漏洞”及其他所有存在的漏洞

显示全部楼层 · 2008-6-4 20:17:15

网站是：http://www.rh-led.com/www

http://www.rh-led.com/
两个网站不一样！

千问 · 2008-6-4 20:17:15

注入是从正常的WWW端口访问，而且表面看起来跟一般的Web页面访问没什么区别，所以目前市面的防火墙都不会对SQL注入发出警报，如果管理员没查看IIS日志的习惯，可能被入侵很长时间都不会发觉。注入式漏洞是设计时的缺陷，要根本解决比较麻烦，但是还有一种方便的做法：SQL注入入侵是根据IIS给出的ASP错误提示信息来入侵的，如果你把IIS设置成不管出什么样的ASP错误，只给出一种错误提示信息，即http 500错误，那么人家就没办法入侵了。主要把500:100这个错误的默认提示页面 :\WINDOWS\Help\iisHelp\common\500-100.asp改成 C:\WINDOWS\Help\iisHelp\common\500.htm即可