- 博客(44)
- 资源 (3)
- 收藏
- 关注
RSS订阅原创 LoadRunner安装及快速使用
本专题意在突出描述LoadRunner在多个平台上的安装过程,安装中注意的问题,重新安装遇到的问题以及如何解决,简单使用LoadRunner的操作步骤等等。 专题内容列表:1、描述LoadRunner在Windows平台的安装过程2、描述LoadRunner在Linux平台上安装的过程3、描述LoadRunenr在重新安装过程中的注意事项4、描述LoadRunner如何快速
2008-08-31 12:27:00
5854
1
原创 LoadRunner脚本录制
{作者:} Snooker{用于查询的专题的关键字}测试脚本 LoadRunner脚本 脚本编写 LoadRunner视频 {专题内容概述} 有不少网友在了解软件测试时,最初都知道测试按照方法可以分为手工测试和自动化测试,手工测试比较容易理解,就是按照测试用例的步骤严格执行就可以了,其中的技巧在于测试用例的设计。而自动化测试则是在被测系统的回归测试以及企业建立自动化测试
2008-08-31 12:23:00
3477
1
原创 出差的痛苦
最近在山东出差,一个人在这里讲课,本来觉得可以出来一个人清静一下,可以写点东西,但是事与愿违,反而一个人了,什么灵感也没有了!想写一点东西,也不能平静下来,倒是有点找到了以前的学生生活,跟前一期的几个学生,一块吃饭,偶尔住宿舍,一起打牌,好像还算有点意思,不过还是虚度了,昨天跟Zee聊天,才知道这个小子也在发奋,并且做的很好!努力吧,我是不是应该更努力一点呢?好了不罗嗦了!
2008-08-31 12:04:00
1315
原创 终于可以写博客了
最近一直打不开博客,看到一篇文章说CSDN出了问题,我心中一紧,我的文章呀,还好,现在又可以写了,HOHO,最近比较忙,连续讲了快10天的课,心里和体力的透支,让我想休息,但是马上又要出差了,呵呵,努力
2008-08-22 07:34:00
828
转载 跨站脚本执行漏洞详解
本文来源:黑客基地本文主要介绍跨站脚本执行漏洞的成因,形式,危害,利用方式,隐藏技巧,解决方法和常见问题 (FAQ),由于目前介绍跨站脚本执行漏洞的资料还不是很多,而且一般也不是很详细,所以希望本文能够 比较详细的介绍该漏洞。由于时间仓促,水平有限,本文可能有不少错误,希望大家不吝赐教。 声明,请不要利用本文介绍的任何内容,代码或方法进行破坏,否则一切后果自负! 【漏洞成因】 原因很简
2008-08-04 10:08:00
1270
原创 SQL注入专题
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别, 所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码
2008-08-03 09:18:00
1778
转载 三步堵死SQL注入漏洞
SQL注入是什么? 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。 网站的恶梦——SQL注入 SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权
2008-08-03 09:17:00
834
转载 利用SQL注入2分钟入侵网站全程实录
说起流光、溯雪、乱刀,可以说是大名鼎鼎无人不知无人不晓,这些都是小榕哥的作品。每次一提起小榕哥来,我的崇拜景仰就如滔滔江水,连绵不绝~~~~(又来了!) 让我们崇拜的小榕哥最新又发布了SQL注入工具,这回喜欢利用SQL注入入侵网站的黑友们有福了。小榕哥的工具就是强!偶用它来搞定我们本地的信息港,从寻找注入漏洞到注入攻击成功,通过准确计时,总共只用了3分还差40秒,呵呵,王者风范,就是强啊!不
2008-08-03 09:16:00
2702
转载 SQL注入入侵动网SQL版论坛
现在动网最新版本是7.0+SP2。应该说安全性已经是很高的了。所以从脚本本身的问题去突破它难度不小。但是我们可以从外部的一些途径间接“搞定”动网.现在IIS+ASP+SQL2000的组合是比较常见的。而一个网站运用大量的ASP脚本程序,难免不出纰漏。如果一台主机上存在某个SQL注入点,而这台主机又安装有动网SQL版的话,基本上可以得出结论:这个动网就是你的了。下面来看一下实例。 一、 首
2008-08-03 09:15:00
1330
原创 C# 检查字符串,防SQL注入攻击
这些天,CSDN上讨论SQL注入攻击似乎是如火如荼啊...我也来参合一下..如下,CheckParams函数,接收参数任意,如参数中有字符串,则对字符串进行检查,如参数中有集合(如Array之类,总之是实现了ICollection的),则对集合中的字符串元素进行检查.大家可根据具体情况来定要过滤的字符,我这个例子里暂定为=号和号,实际上我个人认为,过滤了这两个,似乎要进行SQL注入就已经比
2008-08-03 09:14:00
1961
转载 关于对SQL注入80004005 及其它错误消息分析
文章中的信息适用于: Microsoft Data Access Components versions 1.5, 2.0, 2.1, 2.5 Active Server Pages Microsoft Visual InterDev, version 1.0 ------------------------------------------------------------------
2008-08-03 09:14:00
3486
转载 用vbs来写sql注入等80端口的攻击脚本
昨天晚上在机器里乱翻时无意打开一个vbs脚本,突然发现一个以前没有见过的对象Test.SendRequest("http://" & g_sServer & "/testfiles/browser.asp"),虽然对象没有见过,但是意思很明显:发送http请求。本来以为是WMI script API的东东,但是没有找到创建对象的语句,这个脚本在Microsoft ACT里,Microsoft
2008-08-03 09:13:00
2100
转载 浅谈sql注入式(SQL injection)攻击与防范
没有系统的学习过asp或者php编程,也没有系统的学习过access、sqlserver、mysql等数据库,所以我不是一个程序员,虽然经常干一些类似程序员的事情。因为要建立自己的站点,3次改版下来,多少也写了几千行程序,加上对一些论坛、留言板、文章发布系统的测试,也发现了一些问题,现在与大家探讨。在写这篇文章的时候,我除了在本机建立asp+access、asp+sql server测试环境
2008-08-03 09:12:00
2277
转载 如何在SQL注入时保护数据库
SQL注入是防止数据库攻击的一个有效策略。攻击者将注入一个SQL语句到另外一个语句中,这个通常会损坏你的数据库。有数据库接口的Web站点通常在SQL注入的时候容易受到攻击,因为它们是基于动态的SQL;下面是一个简单的例子: 在一个ASP页面中会请求用户输入名字和密码,然后将下面的字符串发送到数据库中: SELECT FROM users WHERE username =’whatev
2008-08-03 09:10:00
974
转载 天晨设计整站SQL注入漏洞
先发点牢骚,刚刚了一个陌生的城市(上海),很容易找到了个公司上班了,那就是天晨,在他们公司我负责的是安全,在这里,我没天都是在检测安全,先是服务器,后是整站,呵呵,很清楚的记得,我上了八天班,在这八天里面,我都是认真很认真的去把没个漏洞,一个一个的补上,担心的事终于来到了,呵呵,不知道是我的问题还是其他原因公司经理找我了,呵呵说我XXXX原因,不能继续留在公司,呵呵意料之中,当天晚上回到了朋
2008-08-03 09:10:00
1339
转载 SQL注入与ASP木马上传
SQL注入后,如何上传木马,一直是比较头疼的事,我这里提供上传木马的一种另一种方法。1、SQL注入的时候,用xp_cmdshell 向服务器上写入一个能写文件的asp文件。文件内容:Set objFSO = Server.CreateObject("scripting.FileSystemObject")Set objCountFile=objFSO.CreateTextFile(req
2008-08-03 09:09:00
1043
转载 终极防范SQL注入漏洞
终极防范SQL注入漏洞其实SQL注入漏洞并不可怕,知道原理 + 耐心仔细,就可以彻底防范!下面给出4个函数,足够你抵挡一切SQL注入漏洞!读懂代码,你就能融会贯通。注意要对所有的request对象进行过滤:包括 request.cookie, request.ServerVariables 等等容易被忽视的对象:function killn(byval s1) 过滤数值型参
2008-08-03 09:08:00
954
转载 SQL注入渗透某网络安全公司的网站全过程
前言:写这篇文章不是为了告诉大家如何去做入侵,而是希望提醒大家:“入侵是偶然的,但安全并不是必然的”,不要疏忽运作上的一些小细节。笔者一直都有经常性地到一些安全方面的网站瞎逛的习惯的,最近因为一次机缘巧合之下通过链接来到广州某个颇有名气的网络安全公司的网站。说实在的,这个网站好象挺多元化的,提供软件下载之余,还有自己的论坛(嘿嘿,界面做得还真不赖嘛,不知道安全性如何呢?)。出于对其安全操守的
2008-08-03 08:56:00
1551
转载 sql注入防御
网站的噩梦——SQL注入SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序,对网站和访问该网站的网友都带来巨大危害。防御SQL注入妙法第一步:下载SQL通用防注入系统的程序,在需要防范注入的页面头部用来防止别人进行手动注入测试。可是如果
2008-08-03 08:56:00
1315
转载 蓝雨设计整站SQL注入漏洞
最近无聊,在网上走来走去看看。发现现在的整站系统可是越来越多了,修改版本等等的N多阿!而蓝雨设计整站的使用者也越来越多了,蓝雨整站系统是从NOWA 0.94修改而来的!基于NOWA的系统不单指蓝雨一个还有很多的!我在此就不一一列举了,核心都是一样,只是程序的附加功能就各自不同!安全方面因为基于NOWA的系统所以到目前知道的漏洞就只有上传而已。以下文章中就会出现NOWA修改系统漏洞当中从未有的
2008-08-03 08:55:00
954
1
转载 两个防SQL注入过滤代码
ASP通用防注入代码 您可以把该代码COPY到头文件中.也可以单独作为一个文件存在,每次调用使用 作者:y3gu - 2005-7-29 http://www.dosu.cn
2008-08-03 08:52:00
985
转载 SQL注入实战---利用“dbo”获得SQL管理权限和系统权限
在一个供求信息发布的网站上测试了一下,页面http://www.xxx.com/new/new.asp?id=49我做了如下测试:(1) http://www.xxx.com/new/new.asp?id=49’Microsoft OLE DB Provider for ODBC Drivers 错误 80040e14[Microsoft][ODBC Microsoft Access Dri
2008-08-03 08:51:00
1106
转载 三步堵死SQL注入漏洞
SQL注入是什么? 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。 网站的恶梦——SQL注入 SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权
2008-08-03 08:49:00
839
转载 菜鸟入门级:SQL注入攻击
文章来源:网页吧 一般国内的小一点的新闻站点程序 都有 ""&request 这种漏洞,下面我讲解攻击方法 在地址栏: and 1=1 查看漏洞是否存在,如果存在就正常返回该页,如果没有,则显示错误,继续假设这个站的数据库存在一个admin表 在地址栏: and 0 返回页正常,假设成立了。 下面来猜猜看一下管理员表里面有几个
2008-08-03 08:48:00
1152
2
转载 SQL注入技术和跨站脚本攻击的检测
文章来源:黑基博客 在最近两年中,安全专家应该对网络应用层的攻击更加重视。因为无论你有多强壮的防火墙规则设置或者非常勤于补漏的修补机制,如果你的网络应用程序开发者没有遵循 安全代码进行开发,攻击者将通过80端口进入你的系统。广泛被使用的两个主要攻击技术是SQL注入[ref1]和CSS[ref2]攻击。SQL注入是指:通过互联网的输入区域,插入SQL meta-characters
2008-08-03 08:47:00
1127
转载 SQL注入攻击零距离
一次次的SQL注射入侵,一次次的网站被黑,总是那句话,漏洞在所难免,难道一点办法都没吗?这篇文章就是为大家解析下SQL注 射的原理,以及给出一些预防方法。一:基础篇分析下漏洞产生的原因,主要还是参数没完全过滤。cntid = Request("cntid") 这样的语句就存在一个注入攻击,首先,没验证是否为整数解决方法:cntid =replace(request("cntid "),"",
2008-08-03 08:46:00
1017
转载 PHP与SQL注入攻击
SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验,那么常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现,很可能使数据库中的纪录遭到暴露,更改或被删除。下面来谈谈SQL注入攻击是如何实现的,又如何防范。 看这个例子:// supposed input$name = “ilia’; DELETE FROM users;
2008-08-03 08:45:00
1212
转载 Dreamweaver中sql注入式攻击的防范
Dreamweaver+ASP可视化编程门槛很低,新手很容易上路。在很短的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI
2008-08-03 08:41:00
1050
转载 防范Sql注入式攻击
Sql注入式攻击是指利用设计上的漏洞,在目标服务器上运行Sql 命令以及进行其他方式的攻击 动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因比如一个在线书店,可以根据用户的输入关键字搜索相关的图书。string name = GetUserInput("BookName");string script = "select table_book where b
2008-08-03 08:40:00
1248
转载 跨站式SQL注入技巧
学习如何从数据库中获取想要获得的内容,首先,我们先看看SQL注入的一般步骤: 第一节、SQL注入的一般步骤 首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。 其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种: (A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下: Select * from 表名 where 字
2008-08-03 08:38:00
914
转载 利用instr()函数防止SQL注入攻击
学asp也有一段时间了,这几天一直在写自己的程序,也遇到了好多问题,我就不得不得考虑到一些现在的漏洞,比如,‘ 或 and 1=1等等的一些漏洞!别的先不管,今天我就来说说如何堵这个漏洞! 记得看了一篇文章(不记得什么时候看的了),他用到了instr这个函数,具体的应该是这样的。 If instr(Request("id")," ")>0 or instr(Request("id"
2008-08-03 08:37:00
1171
原创 SQL注入攻击的原理及其防范措施
ASP编程门槛很低,新手很容易上路。在一段不长的时间里,新手往往就已经能够编出看来比较完美的动态网站,在功能上,老手能做到的,新手也能够做到。那么新手与老手就没区别了吗?这里面区别可就大了,只不过外行人很难一眼就看出来罢了。在界面的友好性、运行性能以及网站的安全性方面是新手与老手之间区别的三个集中点。而在安全性方面,新手最容易忽略的问题就是SQL注入漏洞的问题。用NBSI 2.0对网上的一些AS
2008-08-03 08:37:00
1723
转载 编写通用的ASP防SQL注入攻击程序
SQL注入被那些菜鸟级别的所谓黑客高手玩出了滋味,发现现在大部分黑客入侵都是基于SQL注入实现的,哎,谁让这个入门容易呢,好了,不说废话了,现在我开始说如果编写通用的SQL防注入程序一般的http请求不外乎get 和 post,所以只要我们在文件中过滤所有post或者get请求中的参数信息中非法字符即可,所以我们实现http 请求信息过滤就可以判断是是否受到SQL注入攻击。 IIS传递给
2008-08-03 08:36:00
946
转载 SQL Server应用程序中的
摘要:这份文档是详细讨论SQL注入技术,它适应于比较流行的IIS+ASP+SQLSERVER平台。它讨论了哪些SQL语句能通过各种各样的方法注入到应用程序中,并且记录与攻击相关的数据确认和数据库锁定。这份文档的预期读者为与数据库通信的WEB程序的开发者和那些扮演审核WEB应用程序的安全专家。介绍:SQL是一种用于关系数据库的结构化查询语言。它分为许多种,但大多数都松散地基于美国国家标
2008-08-03 08:34:00
953
转载 SQL注入法攻击一日通
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根 据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访问,而且表面看起来跟一
2008-08-03 08:33:00
1370
转载 SQL注入漏洞全接触--高级篇
看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。第一节、利用系统表注入SQLServer数据库SQLServer是一个功能强大的数据库系统,与操作系统也有紧密的联系,这给开发者带来了很大的方便,但另一方面,也为注入者提供了一个跳板,我们先来看看几个具体的
2008-08-03 08:31:00
1719
转载 SQL注入漏洞全接触--进阶篇
第一节、SQL注入的一般步骤首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:(A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:Select * from 表名 where 字段=49注入的参数为ID=49 And [查询条件],即是生成语句:Select * fr
2008-08-03 08:26:00
2014
转载 SQL注入漏洞全接触--入门篇
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入是从正常的
2008-08-03 08:24:00
3803
3
转载 四大奸臣论之向领导提意见的艺术
这两天准备把公司目前在测试上的一些问题总结一下,向领导提提意见。但我这人平常拙嘴笨舌,尤其不擅长和领导打交道。感觉想说的事情很多,理不出个头绪来。想着想着,不知不觉就趴在桌上沉沉睡去。睡了不知多久,抬头猛然见到一个身着古代服装的人,正微笑着看着我。我揉了揉惺松的睡眼,正想开口问他是什么人。他却先开口了。这人向我问道:“你是导演吧?找你很久了!俺叫魏忠贤,今年二十九岁,至今未婚。”我一听这
2008-08-02 16:50:00
3328
转载 代码逆向乱谈之导引(安全焦点)
创建时间:2008-05-04文章属性:原创文章提交:xikug (xikug_at_163.com)代码逆向乱谈之导引序早就想写点什么,自己都不知道一天在瞎忙什么,一直到最近才开始动手。。。我想通过这个乱谈系列跟大家分享一些心得。我打算在这个系列文章中讲点方法与思路,当然,很多方法并不是我的原创,只是我用这些方法和思路解决了我的实际问题。由于本人水平有限,很多说法只是我个人的理解,然后用我自己的
2008-08-01 22:30:00
827
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人