攻击方法二:
直接注册六扇门、死机炸弹门派名!
这个漏洞存在于joinjhnew.asp里面,捣乱的人具体的攻击方法如下:
每一个江湖社区,在登陆页都有一个名字叫作joinjh.asp的提交表单,是给用户提供注册的,点击“注册账号”,在出现的叶面里面点击鼠标右键,选择查看源码,然后自己就可以轻易制作一个注册表单
1、把所有的代码复制到写字板
2、找寻"joinjhnew.asp",在前面加上要注册的社区路径,如
http://211.97.214.38/yebi/sjec14/
3、在任意地方(就放在信箱后面好了)插入这段代码:
门派:
4、把写字板上的代码另存一下:文件——另存为——名称填写为"join.htm",位置就放在桌面上好了
5、打开这个叶面,开始注册。
如果注册的时候在门派里面填写为六扇门,那么注册以后就会成为六扇门的1级管理员,可以使用警告,但没有其他权限,所以,这并不可怕。
但是如果他在这里面填写一段死循环、一个无限大的图片代码或者烂屏炸弹的代码呢?那么结果就是他一旦进去聊天,你所有的用户——只要在聊天室里面,所有人统统死掉……因为1.14版本的f3.asp会调用用户的门派资料显示在聊天室。
其实解决办法非常简单:
在joinjhnew.asp里面找寻
"&Request.form("menpai")&"
并把他替换为
无
这样,他们一样可以看到注册成功的信息,但是门派已经成为“无”
当然,你也可以监测他们的捣乱行为,只要增加这个代码
当然,如果您严厉一些,还可以把他引导到一个死循环里面,或者干脆做一个格式化c盘的叶面里面,嘻嘻哈哈……不过我从来没那么做过哦!
这一步具体
怎么去做啊
能不能说的清楚点啊 |
