- 博客(16)
- 收藏
- 关注
RSS订阅原创 Apache 漏洞之后缀名解析漏洞
我们都知道windows2003 + IIS6.0下,如果目录结构中有xxx.asp这样的目录,那么所有这个目录下的文件不管扩展名为什么,都会当作asp来解析。我们一般称这个漏洞为windows2003+iis6.0目录解析漏洞。但是大家可能不知道的是,apache服务器也存在类似的解析漏洞我们来做下实验,我在本地搭建好了一个apache+php的测试平台两个文件phpinfo.php ph
2010-04-28 11:35:00
11900
4
转载 猫为什么要抓老鼠
鼠猖獗,菜市购花猫一只,甚矫健,回家养之。未及一月出现异象:此猫不与鼠为敌,视鼠若无睹,鼠偷食,猫仅睥睨之,仍以四四拍闲庭信步。忧虑,长此以往会否堕落至与鼠打情骂俏。饿之,果然奋起捕鼠,三日捕两鼠,奖汤姆牌高级猫粮一盒,猫喵喵……再过一月异象升级:此猫饱之则不捕鼠,饿之则戏鼠,兴趣盎然、捕而不食,专等高级“汤姆”猫粮。余大怒,责之,不予猫粮以饿其体肤壮其猫志,未及,猫冷眼看我,抓烂沙发决绝而去。于
2010-04-27 13:27:00
1198
2
转载 中国版萨班斯法案明年起施行
昨日(4月26日),财政部、证监会、审计署、银监会、保监会联合发布了《企业内部控制配套指引》。该配套指引包括18项《企业内部控制应用指引》、《企业内部控制评价指引》和《企业内部控制审计指引》,连同此前发布的《企业内部控制基本规范》,标志着适应我国企业实际情况、融合国际先进经验的中国企业内部控制规范体系基本建成。 为确保企业内控规范体系平稳顺利实施,财政部等五部门制定了实施时间表:自201
2010-04-27 10:21:00
897
原创 这种卑鄙的计量阻挡不了巨人、盛大两公司的传统友谊
早就知道 csdn被人黑过但不知道被黑成这样了。再次声明 昨天博客被黑 所发内容非本人发言 不过也好,知道csdn哪里可以跨站了。。
2010-04-23 11:06:00
1603
5
原创 黑客盗取了Google单点登录认证系统源代码
Google于今年一月披露受到了黑客攻击,并声称有重要的知识产权遭窃取。现在攻击事件的更多细节正逐渐显现。 《纽约时报》报道,一位熟知内部调查的消息人士透露,黑客窃取了Google的单点登录认证系统Gaia的源代码。 Gaia是至关重要的访问控制密码系统,Google在全世界的员工通过这套系统能访问公司所有的Web服务器,包括电子邮件和商业应用程序的服务器。虽然Google正在修改这套系统,但攻击
2010-04-21 13:50:00
1033
2
转载 微软表示定期更改密码没用 或浪费时间金钱
微软日前公布的一项调查结果显示,定期更换密码并不能将黑客拒之门外,反而是浪费时间和金钱。当前,许多企业IT部门强制员工定期更改密码,以作 为安全策略之一。这不但让员工感到反感,更让网络管理员感到头痛。但微软日前公布的一项调查结果显示,这样做根本起不到实际作用。微软指出,黑客获得用户登录密码后,会立刻发动攻击,而不会等上几周时间,让用户更改后再发动攻击。这就好比,一个小偷捡到一把钥匙后,不去立刻
2010-04-14 20:40:00
796
1
转载 看“三国”谈谁是好领导-超博好领导系列
非常好玩的文章 转给大家看看 1、刘备: 对下属好的老板,属于“家族企业”(不管是血缘关系还是结拜关系)。不过他看出了自己能力的不足,也看出了2个“亲戚”还不能成大气候。所以比较“重视人才”,从卧龙岗“空降"来一个副总裁。不过事实证明,这个选人决策时非常对的。 刘备个人感觉是一个比较符合”西方管理经验“的老板,找了诸葛亮后,基本大事小事都交给诸葛亮了,比较信任自
2010-04-12 20:51:00
1509
1
转载 ITIL V3与ITIL V2的价值差异
之前有篇日志写了ITIL v3的介绍。这里说一下v3和v2才差异 ITIL V3自从2007年推出后,已经将近两年了,这两年时间足够令相关的研究者和爱好者能知晓这个名词。对于新的名词、概念或者技术推出后,往往会有三个时期存在较多的争论,最热闹的时候一般是刚推出或临近推出的时期,而后慢慢冷淡一段时间后,不少有机会深入这些新事物的人慢慢地又会有第二个阶段的争论,最后一个阶段常常是这个新事物真正
2010-04-09 19:48:00
965
翻译 不要一味相信安全顾问
中国的造词很有特色,比如顾问。顾名思义就是 顾顾,问问。前不久我在听一档关于律师对商业客户价值的广播时,节目谈到人们在风险保护方面太过依赖于律师了,律师口碑不好的原因之一是被滥用,我突然想到这和安全顾问是多么相似啊,如果要你快速给这两类人打分,他们的得分一定非常接近,因为他们之间有很多相似点,如:1、律师通常按小时收费,这是非常大的一笔开支,安全顾问也通常按小时付费,而且不会让你砍价,因为
2010-04-09 19:40:00
772
2
原创 云计算安全七宗罪
安全专家表示,选择云计算的企业可能熟悉多重租赁(multi-tenancy,多个公司将其数据和业务流程托管存放在SaaS服务商的同一服务器组上)和虚拟化等概念,但这并不表示他们完全了解云计算的安全情况。云安全联盟(CSA)执行董事Jim Reavis认为, 云计算其实就是将各种技术集中在一起创造出一种具有独特管理制度的应用程序。 这是计算机时代的新篇章,虽然这一切听起来很熟悉,但只要深入了解就
2010-04-06 21:20:00
2318
9
原创 ITIL V3 介绍
已经拿了itil v2 的认证 特地升级到v3认证好像意义不大,但是还是有必要了解一下 v2和v3的区别。一起来看看朋友的itil v3介绍吧 在 20 世纪80 年代末期,英国商务部发布了ITIL。OGC 最初的目标是通过应用IT 来提升政府业务的效率;目标是能够将不同IT 职能之间缺乏沟通的状况降至最低。OCG 意识到有必要管理不同的IT 组件,例如硬件、软件、基于计算机的通信来提高
2010-04-06 20:43:00
1446
原创 discuz! 7.2 manyou插件暴路径&Get Webshell 0day
在最新的discuz! 7.2中自带了一个新的应用程序插件manyou。恰恰在这个新插件中,没有对传入的参数进行检查,在GPC为off的情况下,导致注入漏洞的产生。漏洞分析:文件./manyou/sources/notice.php相关代码:if($option == del) {$appid = intval($_GET[appid]);$db->query("DELETE
2010-04-06 14:48:00
1091
1
原创 说说腾讯分站被黑的过程
最近腾讯分站被“黑”的消息有蛮人多关注的,某带头大哥就叫我写了篇贴子说说相关的过程是怎样的,进入正题! 大家都想像得到要黑腾讯这类大站找个明显的漏洞(包括注入)是很难的了,就算注入出密码肯定也加密了,解开了都不一定能找到后台拿shell,必境人家也是有相关的安全部门维护着!上传?除了后台哪里还有?我通过google搜,到处转了转看到腾讯某分站搞了个类似
2010-04-05 20:41:00
12654
58
转载 过icesword 1.22 ,注册表隐藏,启动项隐藏
发一段隐藏注册表项的驱动代码,可以过目前最新的IceSword1.22。以前驱动开发网悬赏挑战IceSword时写的,不过最后没公开。那时流氓软件势头正劲,我可不想火上浇油。现在反流氓软件日渐成熟,也就没关系了。知道了原理,防御是非常容易的。原理很简单,实现的代码也很短,啥都不用说,各位直接看示例代码吧。#include #define GET_PTR(ptr, offset) (
2010-04-05 20:37:00
973
原创 csdn的blog太过分了!!!!
之前的公告里面 禁止了 html 说是 可能有违规的东西 现在 在博客里面 还插入了 自己的 谷歌广告。。。 我自己不会放自己谷歌广告吗。。。 要放干脆让我们自定义把。。
2010-04-02 14:31:00
645
2
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人