安全技术入门和基础
文章平均质量分 77
olchid
这个作者很懒,什么都没留下…
展开
-
SQL注入原理入门篇(1)
ASP.NET程序设计员要想防止被注入,一定要先把注入的原理弄清楚了.俗话说:最好的防守是进攻,进攻都不知道,何来防守呀?所以我希望管理员不要把这个文章给删除了,更不要封我的Blog了。我不是在教大家坏.刀并没有错,错就错在拿刀的人呀!再说每一个聪明的人,有怎么会无缘无故去破坏别人的网站呢?好了,闲话不多说了,下面一一讲述,就算以前对之一窍不通,认真看了本文,相信可以对注入有深刻的了解,进原创 2007-10-13 23:50:00 · 395 阅读 · 0 评论 -
SQL注入原理进阶篇(1)
接下来,我们就继续学习如何从数据库获取想要获得的内容,首先,我们先看看一般步骤: 第一节、SQL注入的一般步骤 首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。 其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种: (A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下: Select * from原创 2007-10-15 23:41:00 · 316 阅读 · 0 评论 -
SQL注入原理入门篇(2)
那么,什么样的测试方法才是比较准确呢?答案如下: ① http://www.19cn.com/showdetail.ASP?id=49 ② http://www.19cn.com/showdetail.ASP?id=49 and 1=1 ③ http://www.19cn.com/showdetail.ASP?id=49 and 1=2这就是经典的1=1、1=2测试法原创 2007-10-13 23:53:00 · 345 阅读 · 0 评论 -
SQL注入原理进阶篇(2)
我们举个例子,已知表Admin中存在username字段,首先,我们取第一条记录,测试长度: http://www.19cn.com/showdetail.ASP?id=49 and (select top 1 len(username) from Admin)>0 先说明原理:如果top 1的username长度大于0,则条件成立;接着就是>1、>2、>3这样原创 2007-10-15 23:45:00 · 370 阅读 · 0 评论 -
SQL注入原理高级篇(1)
看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。 第一节、利用系统表注入SQLServer数据库 SQLServer是一个功能强大的数据库系统,与操作系统有紧密的联系,这给开发者带来了很大的方便,但另一方面,也为注入者提供了一个跳原创 2007-10-17 17:21:00 · 439 阅读 · 0 评论 -
.NET防SQL注入之上篇
1.数据库的管理员表名尽量不采用常见的名称. ----------------------- 很多SQL注入工具如明小子都是采用穷举法暴力猜测数据库表名称和字段名称,例如明小子自带的管理员表名有:useradminmanagea_adminx_adminm_adminpasswordadmin_userinfocl原创 2007-10-13 23:11:00 · 406 阅读 · 0 评论 -
ASP.NET防SQL注入攻击
一、什么是SQL注入式攻击? 所谓SQL注入式攻击,就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串,欺骗服务器执行恶意的SQL命令。在某些表单中,用户输入的内容直接用来构造(或者影响)动态SQL命令,或作为存储过程的输入参数,这类表单特别容易受到SQL注入式攻击。常见的SQL注入式攻击过程类如: ⑴ 某个ASP.NET Web应用有一个登录页面,这个登录转载 2007-10-11 16:28:00 · 313 阅读 · 0 评论 -
.NET防SQL注入中篇
上篇说了在数据库设计时应该注意的问题,下面谈谈怎样在编写代码时采取的防护措施。 1.防SQL注入的代码: 我采用了Regex类,此类是用来表示不可变的正则表达式,不懂的朋友可以看看MSDN英文版的介绍,另外不懂正则表达式的也看一下我的blog的正则表达式入门了. 下面是一端防SQL注入的代码:Regex r = new Regex(@"/w*(原创 2007-10-22 12:02:00 · 965 阅读 · 0 评论 -
三步堵死SQL注入漏洞
SQL注入是什么? 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。 网站的恶梦——SQL注入 SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权原创 2007-10-22 15:41:00 · 220 阅读 · 0 评论 -
浅谈sql注入式(SQL injection)攻击与防范(2)
4、网页传递参数不进行过滤处理很多网站都存在这个问题,比如http://www.***.com/show.asp?id=50***.com/show.asp?id=50,在没有对id进行过滤,或有效过滤的情况下,整个网站都处在非常危险的境地。我们可以通过很简单的办法测试是否存在这个问题:http://www.***.com/show.asp?id=50 and 1=1如果页面显示正确,转载 2007-10-22 15:31:00 · 288 阅读 · 0 评论 -
编写autorun.inf/autorun.inf完整内容
autorun.inf文件分为三大部分[AutoRun] [AutoRun.Alpha] [DeviceInstall]。[AutoRun]适用于Windows95以上系统与32位以上CD-ROM,必选。[AutoRun.alpha]适用于基于RISC的计算机光驱,适用系统为Windows NT 4.0,可选。[DeviceInstall]适用于Windows XP以上系统,可选。四、[Au转载 2007-11-11 15:56:00 · 3778 阅读 · 0 评论