日期:2014-05-20  浏览次数:20684 次

发现一个应用系统暴露些代码,想往数据库里面插点数据,不知道时候可行
客户这有一个内部应用系统(java开发的),领导规定每天要登入,至少3次, 客户觉得麻烦,看能否写一个自动登入程序, 这样就不需要去登入,有业务的时候就去办一下, 后来我就查看了登入页面的源码,还真发现些代码,不知道是否借助这些信息直接往数据库表里面插入一条登入信息,代码结构如下:

  strSql = "insert into loginLog values('用户名', 'IP地址','登入时间', '用户ID号')"
  com.dataSearvice.executeSql(strSql);

  它这个里面把SQL和包名及方法直接显示在源码里面,不知道知道这样的信息,,可否往数据库里面插入一条数据。。。

  忘高手指点一下。。谢谢。

------解决方案--------------------
数据库连接信息 比如用户名 密码 服务地址等 能知道么?
------解决方案--------------------
探讨
呀。。。看错了,还以为你要搞SQL注入攻击,原来只是刷自动登录。。。

那你直接用HttpClient写个定时模拟登录的程序就完事了。根本都不需要去看什么SQL。

就是模拟登录页面的form的提交,就完毕了。

------解决方案--------------------
用HttpWatch分析下浏览器提交时的所有数据项,看Stream那页,别漏了。

然后用HttpClient完整模拟所有提交数据项,只要没有验证码,基本上都可以的。
------解决方案--------------------
页面登陆一次,让它重复提交3次?

知道数据库连接字符串和表名,字段名的话,可以写个小程序,想怎么处理都可以。
------解决方案--------------------
探讨

用HttpWatch分析下浏览器提交时的所有数据项,看Stream那页,别漏了。

然后用HttpClient完整模拟所有提交数据项,只要没有验证码,基本上都可以的。