引言
隨著B/S模式應用開發的發展,使用這種模式編寫應用程序的程序員也越來越多。但是由於這個行業的入門門檻不高,程序員的水平及經驗也參差不齊,相當大一部分程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼,根據程序返回的結果,獲得某些他想得知的數據,這就是所謂的SQL Injection,即SQL注入。
ivan0914 發表在 痞客邦 留言(0) 人氣()
ivan0914 發表在 痞客邦 留言(0) 人氣()
發佈時間:2008.07.03 06:40 來源:賽迪網 作者:majusaka
ivan0914 發表在 痞客邦 留言(0) 人氣()
發佈時間:2008.06.26 07:15 來源:賽迪網 作者:kaduo
ivan0914 發表在 痞客邦 留言(0) 人氣()
緩衝區溢出好比是將十磅的糖放進一個只能裝五磅的容器裡……
ivan0914 發表在 痞客邦 留言(0) 人氣()
常見的木馬所有隱藏啟動方式木馬的最大的特點之一就是它一定是要和系統一起啟動而啟動,否則它就完全失去了意義!!!
方法一:註冊表啟動項:這個大家可能比較熟悉,請大家注意以下的註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
ivan0914 發表在 痞客邦 留言(0) 人氣()
Published: 2008-06-09,
Last Updated: 2008-06-09 22:21:51 UTC
ivan0914 發表在 痞客邦 留言(0) 人氣()
發佈時間:2008.06.06 05:07 來源:賽迪網 作者:BO
【賽迪網-IT技術報導】隨著計算機及網絡應用的擴展,電腦信息安全所面臨的危險和已造成的損失也在成倍地增長,特別是各種黑客的增多,一些個人用戶也時常遭到不同手段的攻擊,這不得不引起我們的重視。 對於個人用戶來說,除了病毒和木馬,網頁中的隱形代碼也開始嚴重地威脅著我們的安全,但大多數人卻缺乏自我保護意識,對隱形代碼的危害認識不夠,甚至在自己不知情的情況下被別人竊取了重要資料。因為隱形代碼具有比較大的隱蔽性,到目前為止,還沒有什麼病毒防火牆能很好地阻止隱形代碼的攻擊,大多數甚至根本就不能發現。所以我們更應該高度警惕網頁代碼中的隱形殺手。一般來說網頁代碼中的「隱形殺手」大致分為以下幾類:
ivan0914 發表在 痞客邦 留言(0) 人氣()
Published: 2008-06-07,
Last Updated: 2008-06-07 01:04:58 UTC
by Jim Clausing (Version: 1)
ivan0914 發表在 痞客邦 留言(0) 人氣()
ivan0914 發表在 痞客邦 留言(0) 人氣()
作者:楚林 日期:2008-05-18
本文來自死性不改的博客 http://www.clxp.net.cn 轉載請保留此申明!
ivan0914 發表在 痞客邦 留言(0) 人氣()
最近似乎中木馬, 後門, 還有 USB 木馬的人越來越多,
所以整理一下一些免費的工具, 提供大家使用,
基本上都是些懶人工具, (不用聽那些所謂的專家胡掰了)
ivan0914 發表在 痞客邦 留言(0) 人氣()
發佈時間:2008.05.23 04:44 來源:7747.Net 作者:air
ivan0914 發表在 痞客邦 留言(0) 人氣()
<!--
Internet Explorer "Print Table of Links" Cross-Zone Scripting Vulnerability
ivan0914 發表在 痞客邦 留言(0) 人氣()
Trey Ford, director of solutions architecture, WhiteHat Security
May 12, 2008
ivan0914 發表在 痞客邦 留言(0) 人氣()
There are many tools out in market for security analysis of PHP codes.
Some of them are mentioned below:
ivan0914 發表在 痞客邦 留言(0) 人氣()
概要:
在你的計算機裡有很多微軟試圖隱藏的文件目錄.在這些目錄中你會(主要)發現有這樣兩種東西:Microsoft Internet Explorer記錄了你所訪問過的所有站點---即使你已經清空了你的緩存,Microsoft Outlook和Microsoft Outlook Express記錄了你所有的E-MAIL信息--即使你已經從垃圾箱中把他們清除(其中也包括來往信件中的附件).請相信我,我所說的還不到實際的 50%.
ivan0914 發表在 痞客邦 留言(1) 人氣()
http://www.networksecurityjournal.com/features/open-source-security-tools-applications-resources-041007/
以開源碼為基礎的安全工具,分別有郵件、病毒防護、網頁工具、防火牆、網路監控、Intrusion Detection System(IDS)、虛擬網路、無線網路、加密等。
ivan0914 發表在 痞客邦 留言(0) 人氣()
| 發佈時間:2008.04.25 04:53 來源:賽迪網 作者:Chad |
SQL指令植入式攻擊的危害
ivan0914 發表在 痞客邦 留言(0) 人氣()
| 發佈時間:2008.04.25 04:53 來源:賽迪網 作者:Chad |
乍一看,ExecLogin.asp 的代碼似乎沒有任何安全漏洞,因為用戶如果不給出有效的用戶名/密碼組合就無法登錄。然而,這段代碼偏偏不安全,而且它正是SQL 指令植入式攻擊的理想目標。具體而言,設計者把用戶的輸入直接用於構建SQL 指令,從而使攻擊者能夠自行決定即將被執行的 SQL 指令。例如:攻擊者可能會在表單的用戶名或密碼欄中輸入包含「 or 」和「=」 等特殊字符。於是,提交給數據庫的 SQL 指令就可能是:
代碼:SELECT * FROM tblUsers WHERE Username= or = and Password = or = |
這樣,SQL 服務器將返回 tblUsers 表格中的所有記錄,而 ASP 腳本將會因此而誤認為攻擊者的輸入符合 tblUsers 表格中的第一條記錄,從而允許攻擊者以該用戶的名義登入網站。
ivan0914 發表在 痞客邦 留言(0) 人氣()
