Information Security Technology Organization

艾尔斯帝欧

用户操作

[即时聊天] [发私信] [加为好友]

I.S.T.OID：I_S_T_O

共28666次访问，排名4128好友1人，关注者1人

I_S_T_O的文章

原创 44 篇

翻译 0 篇

转载 8 篇

评论 58 篇

I.S.T.O的公告

我们是钻研网络安全与技术的自由组织I.S.T.O(中文译音艾尔斯帝欧),我们致力于研究各种各项IT技术,以及推崇共享,开源精神…
I.S.T.O我们将走得更远！…

最近评论

kj021320：够叼~~

rebeyond：在这个地方发补丁通告，你可真会选地方

rebeyond：楼上，你可真会找地方发补丁通告，这比官网都有效

mickey：。。。。。。。。。。。。。
你丫....

bryan：Discuz!NT 2.5 重要更新【20080826】
2.5版本修改showuser页面逻辑的一个错误造成了安全问题，恶意用户可能通过此漏洞对论坛发起攻击。为此我们强烈建议您立即下载补丁进行修补。
补丁下载地址：
http://download.comsenz.com/DiscuzNT/patch/dnt_25_n2_patch20080826.zip

文章分类

收藏

相册

i.s.t.o成员

视频搜索门户

存档

软件项目交易

订阅我的博客

10/45 1/5 1 2 3 4 5 下一页

开始写BLOG

2007年08月08日

I.S.T.O 技术团队成员资料 收藏

I.S.T.O 技术团队成员资料阅读全文>

发表于 @ 2007年08月08日 21:53:00|评论(loading...)|收藏

I.S.T.O 技术团队行为守则 收藏

I.S.T.O 技术团队行为守则阅读全文>

发表于 @ 2007年08月08日 21:40:00|评论(loading...)|收藏

2008年10月08日

hibernate search分目录存储测试 收藏

hibernate search分目录存储测试阅读全文>

发表于 @ 2008年10月08日 13:21:00|评论(loading...)|收藏

hibernate search分目录存储索引 收藏

hibernate search采用apache lucene做全文索引，在3.0版本中，hibernate search只支持对个单个实体单个目录和通过hash算法来定位目录，进行索引的添加，而删除是查找所有子目录，对于更新操作也是先删除后添加。这种情况对于某些索引结构可以按特定规则来划分的情况，性能上不是太适合。本来是可以通过实现IndexShardingStrategy和DirectoryProvider这两个接口来完成自定义目录搜索。但是IndexShardingStrategy这个接口开放的方法很局限性。我已经将这个接口的定义建议提交给了hibernate search Team，可能他们没有考虑到这种情况。我自己动手修改了hibernatesearch 3.0.1的源代码来实现。&lt;br&gt;// $Id: IndexShardingStrategy.java 14012 2007-09-1阅读全文>

发表于 @ 2008年10月08日 13:19:00|评论(loading...)|收藏

2008年09月01日

中国联通上装X一下 收藏

ISTO 有你更精彩---

oracle的数据库，花了十几个小时，终于搞下，但是有点不如所料，算了，截图留个念 AND 装个X吧!

阅读全文>

发表于 @ 2008年09月01日 00:18:00|评论(loading...)|收藏

2008年08月28日

Discuz!NT 2.5（20080826更新前）注入 收藏

漏洞说明：Discuz!NT 2.5 是康盛创想(北京)科技有限公司旗下的一款功能强大的基于 ASP.net 平台的社区软件。基于先进的 .Net Framework，默认支持 SQLServer数据库，可扩展支持Access、MySQL等多种数据库，支持IIS5、IIS6、IIS7，安全高效、稳定易用，充分发挥 ASP.net 特性，支持自由选择切换皮肤，支持多种其它论坛的数据转换。 Discuz!NT 2.5 强化论坛功能，提高速度和稳定性，负载能力也有显著改善，在此基础上还将提供包括商品交易、空间、相册等强大功能的插件包，供用户自由选择安装，体现出强大的伸缩扩展性。无论是从功能、性能，还是从支持环境等角度来看，都是目前最为完善和成熟 ASP.net 社区软件。但是ISTO成员在其中发现了一个安全漏洞，成功利用此漏洞可以直接修改管理员的密码进入后台，取得管理员权限，从而控制整个网站。 漏洞厂商：<A href="http://www.comsenz.com">http://www阅读全文>

发表于 @ 2008年08月28日 14:45:00|评论(loading...)|收藏

2008年04月30日

ORACLE LATERAL-SQL-INJECTION 个人见解 收藏

原PAPER地址：http://www.databasesecurity.com/dbsec/lateral-sql-injection.pdf author : kj021320 team : I.S.T.O 最近忙啊忙啊的，今天终于有点点时间抽出来看看技术文章了，最近国外又出了关于新型ORA注入技术的PAPER，赶紧测试，主要是出现在SQL语句字符拼接的时候，DATE类型转换为VARCHAR 以及 NUMBER转换为VARCHAR加入的格式字符出现问题。如果直接执行SQL语句或者参数绑定则不用担心太多，如以下ORACLE存储过程create or replace procedure kjdatepoc(date d)asbeg阅读全文>

发表于 @ 2008年04月30日 13:05:00|评论(loading...)|收藏

2008年02月26日

ASPX 1句话SHELL 收藏

ASPX 1句话SHELL阅读全文>

发表于 @ 2008年02月26日 00:58:00|评论(loading...)|收藏

2008年02月17日

利用X-window配置错误入侵Linux 收藏

利用X-window配置错误入侵Linux阅读全文>

发表于 @ 2008年02月17日 23:21:00|评论(loading...)|收藏

2008年02月15日

SQL元数据注射和解决方案 收藏

SQL元数据注射和解决方案阅读全文>

发表于 @ 2008年02月15日 02:04:00|评论(loading...)|收藏

10/45 1/5 1 2 3 4 5 下一页