Pages: 2/3 First page Previous page 1 2 3 Next page Final page [ View by Articles | List ]

MYSQL Injection IDS

  [多云 July 16, 2008 09:31 | by !4p47hy ]
出处:80sec
函数严格限制SQL文里出现

  ###########################################
来源:baicker
网上的都是放启动项,这个可以自动执行

浅析企业信息安全管理体系建设

  [多云 July 14, 2008 17:35 | by !4p47hy ]
来源:IT 专家网
时至今日,“信息”作为一种商业资产,其所拥有的价值对于一个企业而言毋庸置疑,重要性也是与日俱增。信息安全,按照国际标准化组织提出的ISO/IEC 27000中的概念,需要保证信息的“保密性”、“完整性”和“可用性”。通俗地讲,就是要保护信息免受来自各方面的威胁,从而确保一个企业或机构可持续发展。

百度的JS数据流注入型跨站

  [晴 July 13, 2008 22:02 | by !4p47hy ]
来源:0×37 Security

今天看到的百度贴吧XSS有属于这种类型的,不过仅在FF下有效,原因是在GBK字符集及其子集(或更高级的双字节字符集)编码环境下构造类似于包含%c1′这样的双字节字符串时,提交给服务端,返回。在这整个处理过程的任何一环节,FF都会单独处理这两个字节(%c1与’),而服务端却认为这是一个完整的双字节字符,这导致了单引号这样的特殊字符可以侥幸在FF下残留下来。IE不行,那是因为它也认为这两个字节构成了一个双字节字符。

PHP 168 SQL注射漏洞

  [晴 July 12, 2008 19:24 | by !4p47hy ]
来源:80 sec
漏洞说明:历经数年开发与完善的”PHP168整站系统”是国内最早的多功能模块化网站管理软件系统;不仅适合于建设一般的企业、政府、学校、个人等小型网站,同时也适合于建设地区门户、行业门户、收费网站等大中型网站,80sec在其产品中发现了一个严重的SQL注射漏洞,可能被恶意用户查询数据库的敏感信息,如管理员密码,加密key等等,从而控制整个网站。
作者: 王岗 出处:51CTO.com

在获得SA密码后,往往因为服务器管理者或”前人”将net.exe和net1.exe被限制使用,无法添加管理员账号。我们知道VBS在活动目录(ADSI)部分有一个winnt对象,用来管理本地资源,利用它可以不依靠CMD等命令就能添加一个管理员,具体代码如下:
Tags: , , ,

Z-blog跨站脚本攻击漏洞

  [阴 July 11, 2008 10:48 | by !4p47hy ]
漏洞说明:Z-Blog是一款基于Asp平台的Blog博客(网志)程序,支持 Wap,支持Firefox,Oprea等浏览器,在国内使用非常广泛,官方主页在http://www.rainbowsoft.org/。Z- blog代码严谨,前台功能简洁,后台功能强大,这为它的产品安全带来很大的优势,但是80sec在产品中发现一个严重的跨站脚本攻击漏洞,加上产品设计上的一些问题可能带来严重的后果。

hd

  [多云 July 10, 2008 09:24 | by !4p47hy ]
下载地址:http://www.ncph.net/soft/hd.rar
来源:NCPH

一. 后门主要模块介绍
Tags: , , ,

内网渗透的常用手法

  [多云 July 10, 2008 09:19 | by !4p47hy ]
内网,很多人应该形成了这个概念,很多大型网络的外部网站或是服务器不一定有用,当然外网也是一个突破口。很多时候我们直接从外网入手,随着安全的不断加固,已变得越来越困难。那么黑客通常是怎么进行内网渗透的,内网渗透又是怎样与社会工程学联系起来呢,今天主要描述黑客内网渗透的常用操作手法,关于如何获得内网机器,请查找我以前的一篇文章《内网渗透---如何打开突破口》。

企业内部AD脆弱密码审计

  [阴 July 9, 2008 22:26 | by !4p47hy ]
这个是前段时间做的个小脚本,没什么用,审计内部AD脆弱密码的。做这样一些简单的工作,脚本语言确实挺合适的。需要一个普通的AD账号,导出账户名,过滤掉禁用的,然后开始扫描。密码字典按照自己公司的实际情况写就好了,支持%USERNAME%123这样的格式。

折腾

  [雷阵雨 July 8, 2008 18:59 | by !4p47hy ]
到了北京一直为酒店的事情而折腾来折腾去的··累死我了··创记录了··3 天换了 4 个酒店··自己都有点佩服我自己了··
刚到北京定的是一个叫什么桔子酒店的,但是到那发现房间不大,而且离用户那边也很远还很贵,没办法,只要再上网上去找酒店,后来又定了个宾馆,离用户那里倒是很近,就在对面,但是好脏啊,看起来很不正规,而且价格还比较贵··所以当时就决定继续换酒店···

Ratproxy -- Google 的 XSS 检测工具

  [晴 July 8, 2008 11:04 | by !4p47hy ]
作者: Fenng
网址: http://www.dbanotes.net/security/ratproxy_google_xss.html

跨站脚本攻击(XSS, Cross Site Scripting) 可能是目前所有网站都比较头疼的问题,Google 也不例外。这次 Google 又做了一次雷锋,把内部用来审计 XSS 的工具开源了:ratproxy

QQ Mail跨站脚本漏洞

  [晴 July 7, 2008 21:30 | by !4p47hy ]
漏洞说明:QQ Mail是Tencent公司提供的webmail服务,你可以使用你的QQ帐户来登陆使用Mail服务,具体的信息可以访问 http://mail.qq.com/。但是80sec团队成员在QQ Mail里发现存在跨站脚本漏洞,恶意用户可以通过该漏洞在邮件里伪造登陆表单窃取目标用户的密码以及偷取Cookie以取得其他用户的身份,或者使用 ajax等技术读取用户的敏感信息。
Tags: , , , ,

安全抵达北京

  [晴 July 6, 2008 17:02 | by !4p47hy ]
刚到酒店,好累啊··一直睡到现在··困死了··今天一早上就起来了,提前 1 个多小时到机场,在机场睡了 2 次,竟然还没登机,真是郁闷··
好不容易熬到登机了,一上飞机就睡觉,累死了··一直到中午吃饭的时候才醒,到北京的时候都中午了··
北京,这个城市也有3 年没来了吧,不知道为什么,刚坐上机场大巴,看着两边的建筑和树木,我就感觉这就是北京,这是北京特有的风格···如果有人不告诉我这是北京的话,我想我也会猜到这就是北京吧··

定的酒店离机场还是有段距离的,不过还好,没有像上海机场那么远··坐了一会就到了····到酒店简单和项目接口人联系了下,了解下明天的项目启动时间以及项目的注意事项后就直接睡觉了··
Tags: , , , ,

Gmail、Hotmail和Yahoo验证码被攻破

  [晴 July 5, 2008 02:06 | by !4p47hy ]
据悉,Gmail、Hotmail和Yahoo信箱所使用的CAPTCHA图片验证码系统已经被攻破,现在以滥发广告、欺诈电邮为目的的垃圾邮件发送者,已经开始在黑市出售以这种方式注册的Gmail、Yahoo和Hotmail账户。
Pages: 2/3 First page Previous page 1 2 3 Next page Final page [ View by Articles | List ]