如发现有乱码， 请直接从这里浏览原文
正文摘录:

似乎这样很正常，没有什么异常的地方，但是别忘了“注入”，就是往“正常”的代码中插入。不正常”的代码。继续来提交http：／／127.0.0.1／ceshi·asp?id=1andl=l。在ASP页面中经过这样提交的“不正常”的代码(and1=1)就插到了正常的SQL查询语句中。如果把“and1。l”换成别的代码道理是一样的。换成上次课介绍的注入语句就能猜解数据库的内容了，这就是“注入的原理”。把ceshi.asp放到IIs的主目录中，在浏览器中访问，分别提交“andl=l”和“andl：2”，如图4，图5，确实存在注入漏洞，我们如果使用HDSI检测的话，知道了注入的原理就可以自己读ASP程序的代码来寻找代码中的漏洞了。。那是不是很复杂啊?”菜虫虫同学带着满脸的崇拜问道。“其实这是很简单的问题，想当年你们最崇拜的悟空老师也仅仅是知道了这个原理后，就发现了大名鼎鼎的bbsxp的注入漏洞”。“啊?原来我们心中的偶像帅锅也是利用这么简单的知识啊!我也要去挖洞了。”“这么简单的知识，悟空老师还炫耀了那么久。原来做黑客，可以无耻到这种地步。”“大家别急，我们今天的课程还有一些知识昵，等课后再去自己挖洞吧。”毒药看着大家急不可耐的样子，敦鞭用力的敲了敲黑板。三，实例分析ASP代码的注入漏洞分析ASP代码的注入漏洞，通常是去专门的ASP源代码下载网站，下载一套程序，然后分析里面ASP文件的代码，如果存在字符过滤不完全引起注入漏洞的页面，构造合适的url手工或使用工具检测就能得到数据库中的内容了。小菜没有悟空老师那么厉害，我们不找bbsxp论坛的漏洞，先换个简单的目标来练手，等以后熟练了再对付它。我选了一套。爱雪儿图文系统Ver4.06.Ol”的程序来检测一番。逐个文件来分析，有的地方看不懂没关系，因为你们的AsP知识还不够，我们的目标也不是成为ASP程序员，只要能看懂数据库操作的那几句就够了，其它的等以后有时间再仔细研究。找啊找啊找啊找，终于让我找到了一处小小的漏洞，漏洞代码在“showFiews.asp”文件中，找到下面代码：和上面介绍的是不是很相似呢?NewslD=request(”NewsID”)直接取得提交的NewsID变量，然后sql=“seleotfromNews’wherecheoked=landNewslD=“’&NewslD把NewsID变量直接连接到了sQL查询语句中，注入漏洞就重现江湖了。。我终T：也能自己发现漏洞了，我终于从脚本菜鸟进化}，k脚书黑客了”小菜的梦想终于实现了。“别急别急，我们仅仅通过分析找到了漏洞，还没验证我们的分析是否正确呢”。在前台随便找一个新闻，得到URL地址为http：／