Information Security Technology Organization

hibernate search采用apache lucene做全文索引，在3.0版本中，hibernate search只支持对个单个实体单个目录和通过hash算法来定位目录，进行索引的添加，而删除是查找所有子目录，对于更新操作也是先删除后添加。这种情况对于某些索引结构可以按特定规则来划分的情况，性能上不是太适合。本来是可以通过实现IndexShardingStrategy和DirectoryProvider这两个接口来完成自定义目录搜索。但是IndexShardingStrategy这个接口开放的方法很局限性。我已经将这个接口的定义建议提交给了hibernate search Team，可能他们没有考虑到这种情况。我自己动手修改了hibernatesearch 3.0.1的源代码来实现。<br>// $Id: IndexShardingStrategy.java 14012 2007-09-1阅读全文>

发表于 @ 2008年10月08日 13:19:00|评论(loading...)|举报|收藏

2008年09月01日

中国联通上装X一下

ISTO 有你更精彩---

oracle的数据库，花了十几个小时，终于搞下，但是有点不如所料，算了，截图留个念 AND 装个X吧!

阅读全文>

发表于 @ 2008年09月01日 00:18:00|评论(loading...)|举报|收藏

2008年08月28日

Discuz!NT 2.5（20080826更新前）注入

漏洞说明：Discuz!NT 2.5 是康盛创想(北京)科技有限公司旗下的一款功能强大的基于 ASP.net 平台的社区软件。基于先进的 .Net Framework，默认支持 SQLServer数据库，可扩展支持Access、MySQL等多种数据库，支持IIS5、IIS6、IIS7，安全高效、稳定易用，充分发挥 ASP.net 特性，支持自由选择切换皮肤，支持多种其它论坛的数据转换。
Discuz!NT 2.5 强化论坛功能，提高速度和稳定性，负载能力也有显著改善，在此基础上还将提供包括商品交易、空间、相册等强大功能的插件包，供用户自由选择安装，体现出强大的伸缩扩展性。无论是从功能、性能，还是从支持环境等角度来看，都是目前最为完善和成熟 ASP.net 社区软件。但是ISTO成员在其中发现了一个安全漏洞，成功利用此漏洞可以直接修改管理员的密码进入后台，取得管理员权限，从而控制整个网站。

漏洞厂商：http://www阅读全文>

发表于 @ 2008年08月28日 14:45:00|评论(loading...)|举报|收藏

2008年04月30日

ORACLE LATERAL-SQL-INJECTION 个人见解

原PAPER地址：http://www.databasesecurity.com/dbsec/lateral-sql-injection.pdf author : kj021320 team : I.S.T.O 最近忙啊忙啊的，今天终于有点点时间抽出来看看技术文章了，最近国外又出了关于新型ORA注入技术的PAPER，赶紧测试，主要是出现在SQL语句字符拼接的时候，DATE类型转换为VARCHAR 以及 NUMBER转换为VARCHAR加入的格式字符出现问题。如果直接执行SQL语句或者参数绑定则不用担心太多，如以下ORACLE存储过程create or replace procedure kjdatepoc(date d)asbeg阅读全文>

发表于 @ 2008年04月30日 13:05:00|评论(loading...)|举报|收藏