usezs.asp和top100.asp里面修改的内容

先声明 全部不是原创 呵呵 都是翻以前贴搞得 另外关于top100.asp的漏洞的补救 感谢斑竹field给我提供的解决方案 呵呵 不过他不会介意我共享的拉 usezs.asp 这个漏洞已经很多人知道了 我们这边一个网把的都会利用 解决办法 在这个asp里面找到 if instr(accountname,"")<>0 then response.end if instr(accountname,"=")<>0 then response.end if instr(accountname,"%")<>0 then response.end if instr(accountname,"&")<>0 then response.end 后面添加 if instr(password,"")<>0 then response.end if instr(password,"=")<>0 then response.end if instr(password,"%")<>0 then response.end if instr(password,"&")<>0 then response.end 完整的是 if instr(accountname,"")<>0 then response.end-----------------对账号的判断 if instr(accountname,"=")<>0 then response.end if instr(accountname,"%")<>0 then response.end if instr(accountname,"&")<>0 then response.end if instr(password,"")<>0 then response.end---------------------------对密码的判断 if instr(password,"=")<>0 then response.end----------------------通常是没有对密码判断的 if instr(password,"%")<>0 then response.end if instr(password,"&")<>0 then response.end ----------------------------------------------------------- top100.asp的漏洞 漏洞是没有对job和sx的判断 在你的top100.asp前面加入 <% set rs=server.createobject("adodb.recordset") job=request("job") sx=request("sx") hk=0 if instr(job,"")<>0 then hk=1 if instr(job,"=")<>0 then hk=1 if instr(job,"%")<>0 then hk=1 if len(job)>2 then hk=1 if instr(sx,"")<>0 then hk=1 if instr(sx,"=")<>0 then hk=1 if instr(sx,"%")<>0 then hk=1 if len(sx)>9 then hk=1 if hk=1 then response.write "<script language=javascript>alert(\n\n请不要尝试任何入侵方式!);history.back()</script>" response.end end if %> ok了