一段看似安全的ASP代码 - 中华隐士黑客联盟,全国最大的免费黑客技术培训基地! 免费一切,共享一切!

一段看似安全的ASP代码
作者：不详来源：网络发布时间：2008-4-19 10:42:32 发布人：www.hack86.com

一段看似安全的ASP代码

CODE:
[Copy to clipboard]


<%
dim rs,sql,username,password,ReturnUrl
username    = LCase(Replace(Trim(request("username")),"'",""))
password    = Replace(Trim(request("password")),"'","")
password    = MD5(password & "iloveyouhao0765")
ReturnUrl    = Trim(request("ReturnUrl"))

set rs      = Server.CreateObject("Adodb.recordset")
sql        = "select username,password,isVIP,lastLoginTime,lastLoginIP from BT_User where username='" & username & "'and password='" & password &"'"
rs.open sql,conn,1,3
If Not(rs.bof and rs.eof) Then
If password = rs("password") Then
    session("username") = rs("username")
    rs("lastLoginTime") = Now()
    rs("lastLoginIP") = Userip()
    rs.update
    If rs("isVIP") = "VIP会员" Then
      session("isVIP") = True
    End If
    If Trim(request.cookies("p_Count")) = "" Then response.cookies("p_Count") = 0
    If ReturnUrl ="" Then '登陆后返回URL
      Response.Redirect "eshop.asp"
    ElseIf ReturnUrl <> "" Then
      response.Redirect ReturnUrl
    End If
End If
End If
rs.close
Set rs      = Nothing
Call closeConnection()

ErrMsg = ErrMsg & "<br/><li>用户名或密码错误！</li>"
ErrMsg = ErrMsg & "<br/><li>该用户不存在或已被锁定</li>"
ErrMsg = ErrMsg & "<br/><li><a href='Register.asp'>还没有注册？</a></li>"
Call WriteErrMsg2()
%>
看这里
If Not(rs.bof and rs.eof) Then
If password = rs("password") Then
session("username") = rs("username")
rs("lastLoginTime") = Now()
如果我建个域名一样的网站，并知道了管理员的用户名，就可以伪造cookie欺骗了，哈哈

黑客软件：	漏洞扫描 \| 木马间谍 \| 加密解密 \| 远程控制 \| 破坏攻击 \| 杀毒软件 \| 防火墙类 \| OICQ专区 \| 黑客必备 \| 常用工具 \| 网吧攻击
文章中心：	最新资讯 \| 黑客技术 \| 电脑基础 \| 菜鸟文摘 \| 网络安全 \| 网络技巧 \| QQ技巧 \| OQ空间代码 \| 免费资源 \| 编程世界 \| 建站技术
素材源码：	论坛相关 \| ASP源码 \| CGI 源码 \| NET 源码 \| PHP 源码 \| 酷站素材 \| 字体素材 \| 图片素材 \| 友情发布 \| 网页模版 \| 建站软件
教程动画：	黑客教程 \| 黑客编程 \| 网站入侵 \| 菜鸟教程 \| 入侵教程 \| 破解教程 \| 电子书籍 \| 网页制作 \| 高级会员 \| 综合教程 \| 本站原创