jazywoo_在路上

这几日研究的课题是系统日志的清理，主要参考的书籍是《暗战强人. 黑客攻防实战高级演练》，虽然讲到的技术比较老，但对于刚入门的我还是收获较大。在Windows系统中，日志文件通常有应用程序日志、安全日志、系统日志、DNS服务器日志、FTP日志、WWW日志等，其扩展名为.log、.txt。我们先来熟悉下各个日志文件存放的位置及相应的服务。系统

目录一、    输入验证    31.    什么是输入    32.    输入验证的必要性    33.    输入验证技术    33.1 主要防御方式    33.2 辅助防御方式    5二、    输出编码    81.    输出的种类    82.    输出编码的必要性    83.    输出编码

这些规则适用于所有不同类别的XSS跨站脚本攻击，可以通过在服务端执行适当的解码来定位映射的XSS以及存储的XSS，由于XSS也存在很多特殊情况，因此强烈推荐使用解码库。另外，基于XSS的DOM也可以通过将这些规则运用在客户端的不可信数据上来定位。不可信数据不可信数据通常是来自HTTP请求的数据，以URL参数、表单字段、标头或者Cookie的形式。不过从安全角度来看，来自数据库、网络

XSS wrom网站如何实现入侵?不说废话，且看怎么实现，我先拿SOHU BLOG做示范。　　1. 测试过滤字符，下面都是构造XSS所需要的关键字符(未包含全角字符，空格是个TABLE，//前是真正的空格)，在个人档案处看过滤了哪些。　’’;:!--"=&#{()} //　　结果’’;:!--"=&#{()} // (&后是amp，论坛过滤了)　　过

去年3Q大战之后，开放几乎成为了最热的词汇，随后的国内互联网看似进入了开放平台的“蜜年”，各种基于开放平台的应用和社会化登录也随之出现。　　将自身的产品和服务与大网站平台对接，不仅能省去注册等繁琐工作，不用为储存和传输大量的用户账号信息而烦恼，还可以迅速的带来流量、用户资源，并得到更好的推广。而对于平台来说通过 API 支持协议可以得到很多的应用接入，可以为用户提供更多更好的服务。这对开发

对于针对字符串位置的操作，第一个位置被标记为1。ASCII(str)返回字符串str的最左面字符的ASCII代码值。如果str是空字符串，返回0。如果str是NULL，返回NULL。mysql> select ASCII('2'); -> 50mysql> select ASCII(2); -> 50mysql> select ASCII('

Mysql5内置的系统数据库IFORMATION_SCHEMA,其结构如MSSQL中的master数据库，其中记录了Mysql中所有存在数据库名、数据库表、表字段。重点要求研究几个对SQL注入有用的数据表说明。1.得到所有数据库名：|SCHEMATA                 ->存储数据库名的表|---字段：SCHEMA_NAME     ->数据库名称 |TABLES

MYSQL 日期函数大全对于每个类型拥有的值范围以及并且指定日期何时间值的有效格式的描述见7.3.6 日期和时间类型。  这里是一个使用日期函数的例子。下面的查询选择了所有记录，其date_col的值是在最后30天以内：  mysql> SELECT something FROM table  WHERE TO_DAYS(NOW()) - TO_DAYS(date_co

一、连接MYSQL格式： mysql -h主机地址 -u用户名 －p用户密码或者： mysql -u 用户名 -p // 回车后要求输入密码，密码不可见1、连接到本机上的MYSQL。首先打开DOS窗口，然后进入目录mysql\bin，再键入命令mysql -u root -p，回车后提示你输密码.注意用户名前可以有空格也可以没有空格，但是如果-p后带有用户密码，那么-p与密码之间必

若发生错误，所有数学函数会返回 NULL 。ABS(X)返回X 的绝对值。mysql> SELECT ABS(2);        -> 2mysql> SELECT ABS(-32);        -> 32该函数支持使用BIGINT值。ACOS(X)返回X 反余弦, 即, 余弦是X的值。若X 不在-1到

出处   http://www.myhack58.com/Article/html/3/7/2011/32350.htm一、 SQL注入简介 SQL注入是比较常见的网络攻击方式之一，它不是利用操作系统的BUG来实现攻击，而是针对程序员编程时的疏忽，通过SQL语句，实现无帐号登录，甚至篡改数据库。====================================

出处http://www.myhack58.com/Article/html/3/68/2011/31262.htm先针对POST递交上来的信息过滤程序Public Function filterStr(str)   str=replace(str,CHR(59),";") '“;”   str=replace(str,CHR(38),"&") '“&”   str=r

经过我的收集，大部分的防注入程序都过滤了以下关键字：and | select | update | chr | delete | %20from | ; | insert | mid | master. | set | =而这里最难处理的就是select这个关键字了，那么我们怎样来突破他们呢?问题虽未完全解决，但还是说出来与大家分享一下，希望能抛砖引玉。对于关键字的过滤，以下是我收

你公司网络上的Web应用程序是否容易遭受跨站请求伪造攻击呢?这是一个值得讨论的问题，因为一次成功的CSRF攻击的后果往往是破坏性的，会花费公司的大量金钱，甚至导致机密信息丢失。　　什么是CSRF(跨站请求伪造)?　　CSRF攻击通过使应用程序相信导致此活动的请求来自应用程序的一个可信用户，从而诱使应用程序执行一种活动(如转移金融资产、改变账户口令等)。用户可以是公司的一位雇员，企业