推薦：解析有關eWebEditor網頁編輯器的漏洞
首先介紹編輯器的一些默認特征： 默認登陸admin_login.asp 默認數據庫db/ewebeditor.mdb 默認帳號admin密碼admin或admin888 在baidu/google搜索inurl:ewebeditor 幾萬的站起碼有幾千個是具有默認特征的，那么試一下默認后臺 http://www.xxx.com.cn/admin/eweb

    目前很多網站都采用生成靜態頁的方法，原因是這樣訪問速度會得到提高(服務器端CPU利用率很低)，另外也容易被搜索引擎收錄，但是這帶來的一個問題就是需要足夠大的空間存放這些靜態頁面，如果你的空間不是很富裕，而又想有利于被搜索引擎收錄，其實可以采用偽靜態的方法。如showarticle.asp?id1=1&id2=2的路徑可以轉換為showarticle/?1-2.htm(當然可以轉換為其他形式)，具體方法如下：

    準備工作：建立文件index.asp、文件夾showarticle、在文件夾showarticle中建立文件index.asp(/index.asp、/showarticle、/showarticle/index.asp)。

    原理分析：首先利用Request.ServerVariables("QUERY_STRING")取得?后的參數，比如showarticle/?1-2.htm接收的就是1-2.htm，然后再對1-2.htm進行過濾，我們需要得到的參數是1和2，接下來再到數據庫中去檢索1和2，就跟動態ASP一樣。

分享：解讀ASP程序中通用防SQL注入攻擊代碼
SQL注入一般的http請求不外乎get和post，所以只要我們在文件中過濾所有post或者get請求中的參數信息中非法字符，就可以防SQL注入攻擊。 IIS傳遞給asp.dll的get請求是以字符串的形式，當傳遞給Request.QueryString數據后，asp解析器會分析Request.QueryString