2012年07月_cnbird2008

转载 Microsoft Office SharePoint Server 2007 Remote Code Execution

http://packetstormsecurity.org/files/115099/ms10_104_sharepoint.rb.txt

2012-07-31 10:23:34 651

原创 Business logic automation testing

http://www.slideshare.net/RafalLos/defying-logic-business-logic-testing-with-automationhttp://automationprojects.wordpress.com/http://www.manvswebapp.com/top-10-business-logic-attack-vectors-new-r

2012-07-29 23:15:40 535

转载 Hadoop 1.0.3 Symlink

Software : hadoop-1.0.3Vulnerability : SymlinkProblem type : localCVE ID : CVE-2012-2945Date : May 28, 2012Affected : min May 08, 2012Symptom:$ echo $J

2012-07-23 13:04:46 842

原创 pci-dss toolkit

http://www.itgovernanceusa.com/category/261.aspx搜索pci-dss

2012-07-22 01:46:11 697

原创发卡公司对相关各方的要求

1. american express http://www.americanexpress.com/datasecurity 2. Discoverhttp://www.discovernetwork.com/resources/data/data_security.html 3. jcbhttp://www.jcb-global.com/english/pci/in

2012-07-21 13:26:03 2110

转载 metasploitable 2 测试笔记

metasploitable 2 c4rp3nt3r 测试笔记最近metasploit发布了metasploitable 2,作为一个练习用的linux操作系统. 采用Ubuntu 8.04的OS,搭配各种漏洞,正好满足了广大穷屌丝日益增长的装X和意淫需求.下载地址: https://sourceforge.net/projects/metasploitable/files/Metaspl

2012-07-18 07:23:37 9298

转载 Nmap Script to detect Poison Ivy Clients from hackloft

description = [[Detect if Poison Ivy client is present]] ----- @output-- PORT STATE SERVICE-- 3460/tcp open unknown-- |_poison: Poison Ivy client detected with default password, a

2012-07-18 07:20:18 905

转载 mongo+php 注射的一个tips from superhei

$con = new Mongo();$db = $con->selectDB("demo")->selectCollection("admin");var_dump($_GET['passwd']);$ds =$db->find(array("username"=>$_GET['username'],"password"=>$_GET['passwd']));foreach($

2012-07-18 07:16:11 1698

转载搜索框注入

如果没有说错的话，在国内应该是lake2最早提出搜索型文本框注入的。这个问题我也是最近才搞明白的，因为上网时间少，工作又比较忙，所以很少时间来学习。以前很傻以为搜索型注入就是直接在文本框中输入and 1=1 和and 1=2，结果每次都是出现同样的页面，说是什么没有找到你搜索的关键词，汗啊曾经有个人就说过，中国的黑客满地都是啊；而且有一项调查显示，中国有超过50%的大学生想成为黑客，这也许就是

2012-07-16 21:40:48 20092 2

转载标准网

http://www.freebz.net/

2012-07-16 14:55:37 1009

转载关注网银系统：安全模型和架构设计

http://www.infoq.com/cn/news/2010/05/ebank-security-arch

2012-07-16 14:27:49 1655

转载 Story of a PoC - F5 BIG-IP Cookie Information Disclosure

http://www.garage4hackers.com/f10/story-poc-f5-big-ip-cookie-information-disclosure-281.htmlCuriosity is the biggest virtue of a hacker’s mindset. Only because curiosity people like me loose focus o

2012-07-15 01:07:12 2501

原创清十二帝疑案（阎崇年）37集全集百家讲坛 DVD高清晰版

http://www.so138.com/sov/480fdf1e-2517-4900-9cd8-26206eac8c36.html

2012-07-14 22:44:41 8616

原创 struts 漏洞合集

1. Apache Struts Error Response Cross-Site Scripting Vulnerabilityhttp://www.securityfocus.com/bid/15512/exploit2.Apache Struts 2, XWork, OpenSymphony WebWork Java Class Path Information Disclos

2012-07-13 16:00:32 1084

转载 ZF2011-01: Potential XSS in Development Environment Error View Script

http://mwop.net/blog/206-Zend-Framework-1.7.5-Released-Important-Note-Regarding-Zend_View.htmlExecutive Summary The default error handling view script generated using Zend_Tool failed to es

2012-07-13 15:52:10 867

转载对zend framework xxe injection 的分析

前几天网上爆出一个zend framework 漏洞作者：mkods具体描述如下: https://www.sec-consult.com/files/20120626-0_zend_framework_xxe_injection.txt ; 根据描述，该漏洞是发生在zend 框架 xmlrpc模块的一个 xxe(XML external entity) injection漏洞，利用这个

2012-07-13 15:37:49 1002

转载 BalckHat2010 Barnaby Jack演示ATM自动吐钱

http://v.youku.com/v_show/id_XMTk2NjAzOTU2.htmlhttp://v.youku.com/v_show/id_XMjU2MDYyNTQw.html

2012-07-10 21:41:23 1068

原创曾仕强读书笔记

1. 只理不管越好好干,我就越用你,你不给我好好干我就给你脸色看,如果再不好好干我就撒手不管2. 想得到的答案要从对方口中说出来,而不是你自己主动说出来3. 准、拖、拉的原则，凡事三推让4.非变不可的时候只变20%5. 守本分本质工作做好然后再去帮助别人，同时注意什么事情一定不要太热情6.守规矩公司制度的订立必须有下面的员工或者中层自己提出，而不是抄袭7. 守时限

2012-07-08 21:55:29 2116

原创 ISO 20000之业务关系管理

1. 服务评审2. 服务投诉3. 客户满意度衡量http://wenku.baidu.com/view/6258b582e53a580216fcfe4c.html http://www.edu.cn/jc_6478/20111223/t20111223_722846.shtml

2012-07-08 19:48:57 938

转载防注入系统getwebshell 来自wooyun

这些网站都用的通用防注入系统有个别网站的目录存在sqlin.asp保存注入记录可以写入一句话木马比如http://pzzl.gov.cn/news_type.asp?id=1413 and 1= ┼攠數畣整爠煥敵瑳∨≡┩愾可在http://pzzl.gov.cn/sqlin.asp写入一句话，密码a连接上去可以看到另外的几个政府网站

2012-07-06 11:23:58 2780

原创台湾英语语法视频

http://shipin.haiwen.net/yingyu/album-977/http://www.youku.com/playlist_show/id_2140528.htmlhttp://www.youku.com/playlist_show/id_4398333.htmlhttp://www.youku.com/playlist_show/id_3001596.html

2012-07-05 23:10:11 923

原创软件测试维度

1. 测试过程的管理支持2. 侧四过程的使用3. 测试工具4. 测试培训5. 测试度量6. 用户对测试的满意度7. 测试质量控制8. 测试环境计划

2012-07-05 12:36:29 3398

原创 qai global institute

http://www.qaiglobalinstitute.com/Innerpages/Default.asp

2012-07-05 10:36:22 872

转载 TRS内容管理平台用户注册逻辑漏洞

http://www.wooyun.org/bugs/wooyun-2010-08966首先site:gov.cn inurl:WCMTRS 的内容管理系统是国内政府网站使用最多的系统之一如上面所说：外交部 http://wcm.fmprc.gov.cn/wcm/网址加上：wcm/console/auth/reg_newuser.jsphttp://l

2012-07-04 12:04:34 7724

原创浏览器扩展反编译工具

1. JAVAjad 2. flashflasmflareswfscan3.Silverlight.net reflector

2012-07-04 10:39:04 3699

转载 Test management tools

Bugzilla TestopiaDescription:Testopia is a test case management extension for Bugzilla. It is designed to be a generic tool for tracking test cases, allowing for testing organizations to integrate

2012-07-03 11:37:51 1767

转载使用 TestLink 进行测试管理

http://www.ibm.com/developerworks/cn/opensource/os-testlink/

2012-07-03 11:30:22 700

转载软件测试工具之测试用例管理工具比较

工具名综述优点缺点备注TestManagerRational测试解决方案中推荐的测试用例管理工具。1. 功能强大。2. 文件夹形式的管理，可以对测试用例无限分级。3. 可以和Rational的测试工具robot、functional相结合。4. 有测试用例执行的功能，但必须先生成对应的手工或自动化脚本。1. 本地化支持不好。汉字显示太

2012-07-03 11:28:22 2585

原创 linux 自动反弹rootkit

http://packetstormsecurity.org/files/tags/rootkit/

2012-07-01 19:29:02 721

cnbird's blog