首页 >> 实用技巧 >> 漏洞研究
一篇文章了解SQL注入漏洞
所谓SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行指定的SQL语句,下面这篇文章主要给大家介绍了关于SQL注入漏洞的相关资料,需要的朋友可以参考下Sql Server 应用程序的高级Sql注入
这篇文章讨论常用的"sql注入"技术的细节,应用于流行的Ms IIS/ASP/SQL-Server平台。这里探讨有关这种攻击各种可以注入程序访问数据和数据库防范的方法。暂时屏蔽 IE 最新 0day的4 种方法
IE 最新 0day 波及了微软全线系统居然在2008年12月14日8:00:15还没有出补丁!我查看微软站点,好像有几个手动操作的办法暂时屏蔽。CPU也有远程攻击漏洞 英特尔匆匆修补
BEAREYES.COM 北京 [ 翻译 ] 作者:1000years 日期:2008年08月12日Search Engine XSS Worm
作者:余弦 来源:0x37 Security 有挑战才有意思,为了诞生个Search Engine XSS Worm,这里拿yeeyan做实验了。字符集导致的浏览器跨站脚本攻击分析
前言:这种利用类型的攻击早在06年就被安全研究人员指出,不过一直没有在国内重视。而由于我们国内大部分站点正是这种有漏洞的字符集,所以影响还是比较大,希望各大站快速修复。可以看看http://applesoup.googlepages.com/。伯乐asp收信程序漏洞及利用程序利用代码
信息来源:邪恶八进制信息安全团队(www.eviloctal.com) 文章作者:fhod 发这个也是因为看了asm所写的新概念收信程序 箱子永远不会被黑分析NtGodMode.exe干了什么
NtGodMode.exe是通过打开LSASS.EXE进程msv1_0.dll模块空间里,然后搜索特征值8B 4D 0C 49之后第1个32 C0 这个32C0汇编码xor al,al,修改为B001对应汇编码mov al,1 为什么mov al,1,以后就不用密码了?phpwind管理权限泄露漏洞利用程序发布
phpwind是国内使用非常广泛的一款程序,由于在程序设计上存在错误,导致任何人可以取得前台管理员及斑主权限,做删除帖子等任意操作MySQL Proxy(解决注入的另一思路)
MySQL Proxy的主要作用是用来做负载均衡,数据库读写分离的。但是需要注意的是,MySQL Proxy还有个强大的扩展功能就是支持Lua语言——魔兽也是使用了Lua来开发游戏,据我所知网易也是——可以参见云风的博客。FLASH 0DAY 详细分析和总结图文
首先必须感谢的X.G.C.Team的OPEN在几个关键的地方给予我分析,解决办法的帮助.与及咱们论坛好几位兄弟的帮助.最终我才把这个东西给分析出来..Flash 0day生成器提供下载
昨天发了open写的Flash 0day生成器,当时忘了说了,是在赏月那里看到的。结果今天open跟我说发出来之后,好多人找他问修改方法,所以就有了现在这篇文章。FLASH网马官方补丁
据说是Flash Player ActiveX 9.0.115以下版本。 来源:知道安全 发布日期:2008-5-26 最后更新日期:2008-5-26 17:37(GMT)Debian灾难性漏洞
Debian OpenSSL包里的算法有问题,random number生成居然是在process pid里选取,导致生成key可穷举揭露88red生成htm静态页面企业建站系统漏洞
88red生成htm静态页面企业建站系统后门利用代码,用88red做企业占的朋友可要注意了最新迅雷本地溢出POC
By:疯狗[B.C.T] 以前一直在传迅雷还有0day,Activex的应该差不多了,但是也不敢怠慢,还是卸载之,今天丰初发来一URL,原来素一迅雷0day,看说明还是远程!感觉装了一个,看那个漏洞监听的端口Serv-U本地权限提升的ASP版实现
Serv-U本地提权的问题很古老了,不清楚的朋友谷歌一下先,我就不罗嗦啦。呵呵,最主要的是相继出现了php、perl、aspx版本的提权脚本,一时间刀光剑影满天飞,惟独缺了ASP版的。主要是由于郁闷的ASP不能像其他脚本那样访问Socket轻轻绕过你的验证码并进行攻击
验证码就是每次访问页面时随机生成的图片,内容一般是数字和字母(更BT点的有中文,呵呵),需要访问者把图中的数字字母填到表单中提交,这样就有效地防止了暴力破解。验证码也用于防止恶意灌水、广告帖等。最近比较流行的数据库挂马
以前说过的趋势挂马事件,MS这个挂马方法已经流行了很久,从去年就大规模开始了,在网上可以搜到很多痕迹。小议yxbbs漏洞利用代码
yxbbs 是一个较小的论坛系统,也算是一个较好的小论坛. 管方网站是: http://www.yimxu.com/bbs/Default.Asp 对其研究了一下,发现存在不小安全问题.rgboard 3.0.12 远程文件包含漏洞
Infos: rgboard 3.0.12 远程文件包含漏洞 Author: Flyh4t[w.s.t] rgboard 3.0.12 是韩国的一个论坛程序,可以用google搜索rgboard查看使用的网站WordPress下载监控插件id参数SQL注入漏洞
发布时间:2008-04-28 更新时间:2008-04-30 危害级别:★★★☆☆☆ 受影响版本: WordPress Download Monitor 2.0.6 描述: BUGTRAQ ID: 28975OBlog任意文件下载漏洞
OBlog任意文件下载漏洞 系统编号:BES2008053247 发布时间:2008-05-02 更新时间:2008-05-02 危害级别:★★★☆☆☆ 受影响版本: OBlog 4.60 描述: attachment.asp代码挂马代码 网页挂马分析
2007 10.30动易网站管理系统vote.asp页面存在SQL注入漏洞
PJBlog存在SQL注入漏洞大家要快下补丁了
MSSQL自身存储过程的一个注入漏洞
vista输入法漏洞重出江湖
也谈一个跨站的利用
深入了解以“.”结尾的文件夹
技巧和诀窍防范SQL注入攻击
记一次巧妙的hacking
利用BBSxp后台的缺陷得到webshell
科汛3.1最新安全漏洞补丁2007年2月26更新
Windows 2003 Enterprise Edition IIS6 .ASP目录执行缺陷
手工注射php学习
这篇文章主要介绍了手工注射php学习手工注射JSP学习
手工注射asp学习
DVBBS7.1后台备份得到一个webshell
SQL Server 2000 注入防护大全(二)