鄙人今年20，七年前也就是我初一的時候鉆研過一段時間的攻防技術，但是由于年紀尚小不懂代碼而且以學業為重放棄了繼續鉆研。

前幾天學校一學弟開群拉有興趣的同學進入，我又想到了過去學到的那些東西，突然又有了感覺，不能放棄啊，畢竟是當時深愛的東西。

======================================================================================================

昨晚在看教程，拿來了教程里的網頁想試試有沒有安全問題。頁面如下：

發現域名還是存在的，只是換了廠家。

自己比較小白，不懂SQL高端的代碼之類的，直接拿來工具啊D，塞進去地址檢測。（常見的可以嘗試的地址有產品展示之類的圖片比較多的地方）

果不其然，出現了兩個可注入點。

隨便選第一個吧，注入檢測成功。

依次再檢測表段，字段，內容，十幾秒管理員用戶名就出來了。

詳細看一下用戶名也不是常用的admin之類的，只能說純字母確實不好。不是非常嚴重的是，沒有pwd一項被猜解出來。

后臺嘗試經常用的地址，manage直接成功。

嘗試使用密碼admin，admin88,123456等弱口令登陸都失敗了。（= =后面才知道自己多白癡）

使用明小子暴力猜解。。結果和用戶名一樣。。。T_T

然后成功登陸后臺。?

此漏洞已于昨晚凌晨上報烏云。

關于SQL的更多參考：

http://blog.csdn.net/csh624366188/article/details/8105217

http://netsecurity.51cto.com/art/200808/87178.htm

http://blog.sina.com.cn/s/blog_640b84590100jamq.html

===============================================================================

?

本文僅供學習研究之用，讀者利用所產生的后果概不負責。

總結

以上是生活随笔為你收集整理的一个厂商网站的SQL安全检测 （啊D、明小子）的全部內容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網站內容還不錯，歡迎將生活随笔推薦給好友。