现在时间是21:43分,研究了二个半小时,终于把群发破解了!

网上关于"商贸"的程序非常多,大部分都是免费的,但这种免费的程序往往都是有问题的。

程序漏动本身不说,这样的免费程序经常是群发器的贵宾,如果大家有兴趣可以上网查一下"群发"的关键字,能搜索到很多群发器的信息。

群发器往往是利用网上开源的程序,利用程序本身判断的不严谨来远程调用数据库,或者通过某一个页面传值来连续往数据库里写垃圾信息。

今天晚上我就修改了一个程序,修改结果还是令人满意的。

由于我喜欢自己做程序,不喜欢网上的源代码,所以对网上的程序了解得比较少,今天碰到这样的情况,就是XX网站是用网上的源码改的,每天都有好几千条垃圾信息,就是传说中的"群发器"造成的,威力不小啊!

程序文件太多,只能用我最喜欢用的"XX"工具来查找数据库的几个字段,群发器的利用规则就是寻找某个文件的传值有问题或者直接调用远程数据库,由于我对这套网上的源代码不算熟悉,只能用工具来帮忙了,发现几点问题:

1.防注入写得不好,没有写防Cookies传值,这样有可能导致网站被人攻击。

2.验证码不科学,验证码程序极其简单,根本可以越过验证码验证而直接破解登录(穷举法破解)。

3.数据库代码暴露,直接可以得到数据库路径(access数据库,这点不是源程序的,由于程序被别人改过,所以出现这样的问题)

4.传值没有经过过滤,不管是什么传值,一点过滤都没有,直接写进数据库,很容易被人利用。

5.发布完文章可以直接点击刷新,之后又重新发布一遍,这是一个通病,很多程序出现过这样的问题。

最后花了两个多小时时间把以上问题一个一个解决,最后发现群发信息没有了,明后天再观察观察才能保证是真真正正没有群发信息了,关注中...




您还没有登录,暂时不能发表评论!