如发现有乱码， 请直接从这里浏览原文
正文摘录:

个单引号，这样在构造注入语句的时候就要考虑到前后引号闭合的问题了。我们需要适当的改变注入语句的格式，例如提交http：／／www.XXX.COrn／showinfo.asp?name=poison’and‘l’=’1。在ASP页面中name=poison’and‘1’=’1SQI。查询语句就变为了select·fromadminwherename=’poison’end‘1’=’1'，闭合了前后的单引号，结果当然返回“真”了。提交http：／／www.XXX.com／showinfo.asp?name。poison’and‘l’=’2，原理是一样，也是为了闭合前后的单引号，这两句也是检测有无“字符型注入漏洞”最经典的检测语句了。具体的检测过程为http：／／WWW.XXX.tom／showinfo.asp?name=poison’and(selectcount(·)fromadmin)＜＞Oand‘1’=’1，然后把其中的and(selectcount(·)fromedmin)＜＞O换成上次课介绍的注入语句，就能手工猜解字符型注入点了。and1=1and’％’。’，6and1=2and‘％。=’％目的就是为了闭合其中的…”和“％”，不难看出和字符型注入在本质上是没有什么区别的。小菜们终于明白了注入漏洞的原理，觉得也算半个脚本小子了，在脚本边缘徘徊的小菜们终于看到了一丝希望，原来菜鸟也会找漏洞啊。毒药这时却想着：黄校长应该给我涨工资了吧!表面上却还语重心长地说道：大家找漏洞的时候有些代码看不懂不要紧，毕竟我们的最终目的不是成为ASP程序员，以后多接触一些ASP的知识，慢慢的就能看懂别人的代码了，心急吃不了热豆腐啊。俗话说：温故而知新。一点儿也不错，大家不仿有空的时候多翻几遍以前的菜鸟学堂的笔记，把以前的知识好好综合一下，你们的水平肯定还会上一个台阶的。还是那句话“授人与鱼不如授人与渔”，今天给大家介绍的应该就是“渔”吧，希望大家能在这张破网上多找几个漏洞。说不定下期就会有我们的学堂学生发现的漏洞出现在杂志上哦!瞄什么是木马(Troj811Horse)木马一词是由希腊神话里的“特洛伊木马”而得名的，希腊人在进攻特洛伊城时，久攻不下，于是他们想出了一个计策，假装撤退，却将一个假装甩作祭礼的巨大木马遗弃在了城外，特洛伊人将木马当作战利品运进了城内，到了夜里，藏在木马腹内的希腊士兵与城外的士兵里应外合，一举攻破了特洛伊城。而我们常说的“木马”程序与这个很类似，表面上它们都是伪装成了正常的程序，但当这些木马程序被运行后，就会获取系统的整个控制权限。有许多黑客都是热衷于使用木马程序来控制别人的电脑，比如灰鸽子、黑洞、PcShare等，除了这些传统的木马外，还有一些专用的木马盗号程序，主要是用于盗取QQ及各种网游帐号的。什么是网页木马与传统的术马有些类似，网页木马表面上伪装成普通的网页文件或是将恶意的代码直接插入到正常的网页文件中，当有人访问时，网页木马通常就会利用对方系统或浏览器的漏洞自动将配置好的木马的服务端下载到访问者的电脑上来自动执行。许多朋友都曾经抱怨说，自己只是上网看看网页，电脑就莫名其妙的中了木马，其实就是这样感染的。什么是挂马就是在别人的网站文件里放入网页木马或是将恶意代码嵌入到对方正常的网页文件里，以使浏览者中马。通常都是在网站的首页上来挂马，也有在数据库链接文件、js文件等处挂马的。％％亨字健键关关广