- 博客(7)
- 收藏
- 关注
RSS订阅原创 数据库入侵方法
一般的web server都要使用数据库来存储信息,几乎所有的网站都要用数据库。这样就存在着两种可能,一种是使用小型数据库,如aceess,一般就储存在本地。另一种是使用大型数据库,如SQL server,Oracle这时候一般就放在另一台机器上,然后通过ODBC来访问它。 由于页面经常需要查询各种信息,修改用户信息等操作,实质上就是和数据库打交道了。这样就给非法用户留下利用的机会了。 1.对本地
2005-03-08 21:40:00
7031
1
原创 DVBBS7.0 ---幕后的微笑
动网论坛7.0自从发布以来进一步扩大了其在asp论坛领域的声誉和好评,无论是在美工、性能、安全性和效率上都比上一个版本有了很大的进步。在读代码的时候给我的唯一感觉就是——美。但是世上没有不透风的墙啊,代码写得再严谨也是会有疏忽的时候。为了找出它的漏洞,我就像是大海捞针一样在茫茫的代码中寻觅,蓦然回首那人却在灯火阑珊处。请跟着我来看一看吧。第一篇 发现新大陆CODE 打开AccessTopic.a
2005-03-08 20:34:00
1668
原创 SQL Server应用程序中的高级SQL注入
摘要:这份文档是详细讨论SQL注入技术,它适应于比较流行的IIS+ASP+SQLSERVER平台。它讨论了哪些SQL语句能通过各种各样的方法注入到应用程序中,并且记录与攻击相关的数据确认和数据库锁定。这份文档的预期读者为与数据库通信的WEB程序的开发者和那些扮演审核WEB应用程序的安全专家。介绍:SQL是一种用于关系数据库的结构化查询语言。它分为许多种,但大多数都松散地基于美国国家标准化组织最新的
2005-03-08 20:33:00
1300
原创 ASP+Access的安全隐患及对策
随着Internet的发展,Web技术日新月异。继通用网关接口(CGI)之后,“ASP”(Active Server Pages)作为一种典型的服务器端网页设计技术,被广泛地应用在网上银行、电子商务、搜索引擎等各种互联网应用中。同时Access数据库作为微软推出的以标准JET为引擎的桌面型数据库系统,由于具有操作简单、界面友好等特点,具有较大的用户群体。因此ASP+Access成为许多中小型网上应
2005-03-08 20:32:00
1612
1
原创 怪异的SQL注入
SQL注入以独特、新奇、变异的语句迎来了技术又一大突破,当然要针对奇、特这两方面作文章,要达到一出奇招,必达核心!那才是SQL注入技术的根本所在。长期以来,MS SQL以它强大的存储进程给我们带来了极大的方便,而如今注入技术主要依靠IIS出错与MS SQL系统提示信息来判断,那利用SELECT构造特殊语句,使系统出错来得到我们要的更深入的信息,如爆库、爆表等,能不能取得详细信息呢?答案是能,但必出
2005-03-08 20:30:00
1413
原创 动网论坛上传文件漏洞的原理以及攻击的代码实现
最近一段时间比较忙,没什么时间为组织做贡献(实在是没实力,呵呵).刚好前一段时间听小猪(猪蛋儿的《目前流行的BBS安全性比较》一文请参阅:http://wvw.ttian.net/forum/viewtopic.php?id=269)说动网论坛出了一个上传任意文件的漏洞,当时没怎么明白.但是我看到最近NB论坛上全部都在讨论有关这方面的问题,就研究了一下,发现这个漏洞确实存在,而且非常严重,用小猪的
2005-03-08 19:45:00
1651
原创 SQL注入天书 - ASP注入漏洞全接触
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入是从正常的WWW端口访问,
2005-03-08 19:44:00
1038
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人