引言
隨著B/S模式應用開發的發展,使用這種模式編寫應用程序的程序員也越來越多。但是由於這個行業的入門門檻不高,程序員的水平及經驗也參差不齊,相當大一部分程序員在編寫代碼的時候,沒有對用戶輸入數據的合法性進行判斷,使應用程序存在安全隱患。用戶可以提交一段數據庫查詢代碼,根據程序返回的結果,獲得某些他想得知的數據,這就是所謂的SQL Injection,即SQL注入。
目前分類:一般文章分享 (185)
- Jul 07 Mon 2008 11:30
[中國黑客聯盟]從入門到精通——SQL之ASP注入詳解(轉)(所有新手都能看懂)
- Jul 07 Mon 2008 11:27
[中國黑客聯盟]WAP Web Application Security
[ 目錄 ]
0x00 純屬扯淡
- Jul 03 Thu 2008 21:57
[賽迪網]局域網出現異常怎麼辦? 路由故障分析
- Jul 03 Thu 2008 21:48
[賽迪網]微軟發佈3款SQL INJECTION攻擊檢測工具
- Jun 13 Fri 2008 09:16
[中国黑客联盟]緩衝區溢出的原理
- Jun 12 Thu 2008 09:56
[賽迪網]詳解木馬啟動的幾種方式
常見的木馬所有隱藏啟動方式木馬的最大的特點之一就是它一定是要和系統一起啟動而啟動,否則它就完全失去了意義!!!
方法一:註冊表啟動項:這個大家可能比較熟悉,請大家注意以下的註冊表鍵值:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
- Jun 10 Tue 2008 10:28
[SANS] So Where Are Those OpenSSH Key-based Attacks?
- Jun 09 Mon 2008 12:02
[賽迪網]日常上網也要留心陷阱 網頁代碼隱形殺手
發佈時間:2008.06.06 05:07 來源:賽迪網 作者:BO
【賽迪網-IT技術報導】隨著計算機及網絡應用的擴展,電腦信息安全所面臨的危險和已造成的損失也在成倍地增長,特別是各種黑客的增多,一些個人用戶也時常遭到不同手段的攻擊,這不得不引起我們的重視。 對於個人用戶來說,除了病毒和木馬,網頁中的隱形代碼也開始嚴重地威脅著我們的安全,但大多數人卻缺乏自我保護意識,對隱形代碼的危害認識不夠,甚至在自己不知情的情況下被別人竊取了重要資料。因為隱形代碼具有比較大的隱蔽性,到目前為止,還沒有什麼病毒防火牆能很好地阻止隱形代碼的攻擊,大多數甚至根本就不能發現。所以我們更應該高度警惕網頁代碼中的隱形殺手。一般來說網頁代碼中的「隱形殺手」大致分為以下幾類:
- Jun 09 Mon 2008 11:07
[SANS] Followup to 'How do you monitor your website?'
Published: 2008-06-07,
Last Updated: 2008-06-07 01:04:58 UTC
by Jim Clausing (Version: 1)
- Jun 05 Thu 2008 14:11
轉貼[YouTube]SQL漏洞chna
- Jun 03 Tue 2008 15:43
[CLXP_Blog]三種方法解決IIS6.0目錄檢查漏洞
作者:楚林 日期:2008-05-18
本文來自死性不改的博客 http://www.clxp.net.cn 轉載請保留此申明!
- Jun 03 Tue 2008 15:23
整理免費的個人安全軟體
- May 23 Fri 2008 09:45
[賽迪網]SQL注入式除攻擊數據庫外還威脅系統安全
- May 15 Thu 2008 11:05
[milw0rm]Internet Explorer "Print Table of Links" Cross-Zone Scripting Vulnerability
<!--
Internet Explorer "Print Table of Links" Cross-Zone Scripting Vulnerability
- May 15 Thu 2008 09:57
[轉貼][zz]Deconstructing PCI 6.6
- May 15 Thu 2008 09:55
[轉貼]PHP security analysis
There are many tools out in market for security analysis of PHP codes.
Some of them are mentioned below:
- May 13 Tue 2008 14:27
[中國黑客聯盟]被微軟「深度隱藏」的文件
概要:
在你的計算機裡有很多微軟試圖隱藏的文件目錄.在這些目錄中你會(主要)發現有這樣兩種東西:Microsoft Internet Explorer記錄了你所訪問過的所有站點---即使你已經清空了你的緩存,Microsoft Outlook和Microsoft Outlook Express記錄了你所有的E-MAIL信息--即使你已經從垃圾箱中把他們清除(其中也包括來往信件中的附件).請相信我,我所說的還不到實際的 50%.
- May 09 Fri 2008 10:48
[實用工具]Open Source Security Mother Lode
http://www.networksecurityjournal.com/features/open-source-security-tools-applications-resources-041007/
以開源碼為基礎的安全工具,分別有郵件、病毒防護、網頁工具、防火牆、網路監控、
以開源碼為基礎的安全工具,分別有郵件、病毒防護、網頁工具、防火牆、網路監控、
Intrusion Detection System(IDS)、虛擬網路、無線網路、加密等。
- Apr 28 Mon 2008 09:52
[賽迪網]SQL指令植入式攻擊的危害及其防範措施 (3)
- Apr 28 Mon 2008 09:51
[賽迪網]SQL指令植入式攻擊的危害及其防範措施 (2)
| 發佈時間:2008.04.25 04:53 來源:賽迪網 作者:Chad |
乍一看,ExecLogin.asp 的代碼似乎沒有任何安全漏洞,因為用戶如果不給出有效的用戶名/密碼組合就無法登錄。然而,這段代碼偏偏不安全,而且它正是SQL 指令植入式攻擊的理想目標。具體而言,設計者把用戶的輸入直接用於構建SQL 指令,從而使攻擊者能夠自行決定即將被執行的 SQL 指令。例如:攻擊者可能會在表單的用戶名或密碼欄中輸入包含「 or 」和「=」 等特殊字符。於是,提交給數據庫的 SQL 指令就可能是:
代碼:SELECT * FROM tblUsers WHERE Username= or = and Password = or = |
這樣,SQL 服務器將返回 tblUsers 表格中的所有記錄,而 ASP 腳本將會因此而誤認為攻擊者的輸入符合 tblUsers 表格中的第一條記錄,從而允許攻擊者以該用戶的名義登入網站。
