偶然在网上看到了开心网址程序注入漏洞一篇文章,才发现两年前刚学asp练手的程序祸害了不少人,真是感到很内疚。当时只是从网上得到一个程序然后修改了一下,就发布了,后来又自己改成了生成html版的,也是现学现卖,根本还不知道有sql注入这种事。后来由于好多事,就没再继续学习asp,当初的网站也没了,域名到期后也被别人注走了。:(
从搜索引擎搜到了两年前作过的程序,重新整理了一下,因为以前叫做v2.2,那这个就叫v3.0好了
主要更新如下
1.去除了一些杂七杂八的功能,改变了一下界面(模版是从网上下载的,出处不详,对原作者表示感谢)
2.对后台密码进行了md5加密,加入了Neeao的SQL通用防注入系统3.0(asp),可以封注入者的ip。
我还是个asp初学者,用这个程序的应该也是初学者,所以不免会有很多漏洞,希望高手们能够指点一下,而不是只去破坏。
套用一句第一次发布程序v1.0的广告 (从搜索引擎上搜出来的 :) ):
[开心网址基本上可以摈弃枯燥的html修改,所有主要信息都能在后台轻松设置,即使你不懂html语言和asp语言,也能轻松架构网址站。]
初始超级管理员 admin 密码 admin初始管理登陆地址http://你的域名/admin/index.asp
为了网站安全,发布前一定要做的事:
1.修改后台管理文件夹名(admin文件夹)
2.修改数据库地址(data文件夹和#data.asp文件)
3.将mdb.asp中的数据库地址改为修改后的数据库相对于根目录的地址,sessionvar改为任意字符
4.修改sql文件夹中Neeao_sql_admin.asp文件里的管理密码(第三行),用于后台管理那些封住的ip
以前有的一些功能:
1. 可以设置网址站的名称,地址,信箱,管理员,88*31 LOGO图片,首页180*60 LOGO图片,关键字,网站描述,首页公告等基本信息。
2. 广告信息管理功能所有广告都可以通过开关设置显示或隐藏。广告类型支持图片,flash,js代码,以及自写代码。
3. 首页的各个栏目的链接都可以从后台进行添加,删除或者修改的管理。
4. 数据库管理功能,可以在线备份,恢复,压缩数据库,以及用Sql语句批量处理数据。
5. 附留言本及访问统计功能。
6. 超级管理员功能,可以增加高级管理员和数据输入员,各有不同功能限制。
7. 支持网址二级分类,管理员可以后台对类别,网址进行添加,删除,修改和审核管理。
8. 可以设置登录模式为自助登录或邮箱登录.
9. 生成html功能,审核新入网址后请更新网址列表,并按分类重新生成html网页。
10.首页设滚动的友情Logo链接,可以后台进行添加,删除和修改管理。
新申请的域名:http://www.happywz.com
我的QQ:684662
我的邮箱:684662@qq.com