October 10, 2008 12:55 | by 
September 17, 2008 08:57 | by
来源:黑白网络
前天,听说落伍分类信息程序发布了,就想前去看看,什么样子的.一看,真不愧是落伍的产品,风格依然落伍,功能还行,大体一看没什么漏洞.
看看服务器吧.ping demo.im286.com返回IP 58.253.71.241打开是个"Directory Listing Denied",没意思.不喜欢.
再看看开发者的站,www.php.com.cn,域名真不错,ping一下吧.返回Pinging phper.xihuidc.com.cn [58.253.71.241],看出门道来了,CNAME啊.而且一看域名xihuidc,这个IDC有点2.CNAME的确便于管理,但是这样不太好.
ping的同时我也打开了php.com.cn的站点,哟,"Powered by ebcms",先来检测下注入吧.
前天,听说落伍分类信息程序发布了,就想前去看看,什么样子的.一看,真不愧是落伍的产品,风格依然落伍,功能还行,大体一看没什么漏洞.
看看服务器吧.ping demo.im286.com返回IP 58.253.71.241打开是个"Directory Listing Denied",没意思.不喜欢.
再看看开发者的站,www.php.com.cn,域名真不错,ping一下吧.返回Pinging phper.xihuidc.com.cn [58.253.71.241],看出门道来了,CNAME啊.而且一看域名xihuidc,这个IDC有点2.CNAME的确便于管理,但是这样不太好.
ping的同时我也打开了php.com.cn的站点,哟,"Powered by ebcms",先来检测下注入吧.
文章作者:落叶纷飞[J.L.S.T] (http://00day.cn)
信息来源:邪恶八进制信息安全团队技术讨论组
注意:本文已发表于《黑客手册》2008年04期,转载请注明出处。
平常入侵只是写个手记给自己看,这篇烂文也是改自我上次和朋友入侵游戏代理商时的手记,这也是我第一次写入侵类的文章,仅为大家提供一条思路,希望大家喜欢。
信息来源:邪恶八进制信息安全团队技术讨论组
注意:本文已发表于《黑客手册》2008年04期,转载请注明出处。
平常入侵只是写个手记给自己看,这篇烂文也是改自我上次和朋友入侵游戏代理商时的手记,这也是我第一次写入侵类的文章,仅为大家提供一条思路,希望大家喜欢。
August 28, 2008 10:32 | by
来源:CB
近来不断高调“维稳”的中国证监会也许没想到,券商、基金的交易系统竟如此不稳定。基金业人士透露,中国证监会日前对基金公司的IT系统抽查结果令人极其意外,多数公司的IT系统不够稳定,而更让人担忧的是,券商的IT系统在被证监会“黑客”侵入后竟浑然不知。据透露,席卷全国的基金公司IT系统大抽查已经结束。中国证监会日前对抽查结果进行了内部通报:在24家被抽查的基金公司中,17家基金公司IT系统的稳定问题较为严重,而其中4家基金公司的IT系统安全问题则非常严重。
近来不断高调“维稳”的中国证监会也许没想到,券商、基金的交易系统竟如此不稳定。基金业人士透露,中国证监会日前对基金公司的IT系统抽查结果令人极其意外,多数公司的IT系统不够稳定,而更让人担忧的是,券商的IT系统在被证监会“黑客”侵入后竟浑然不知。据透露,席卷全国的基金公司IT系统大抽查已经结束。中国证监会日前对抽查结果进行了内部通报:在24家被抽查的基金公司中,17家基金公司IT系统的稳定问题较为严重,而其中4家基金公司的IT系统安全问题则非常严重。
本文作者:OrphousV
原文请访问:http://blog.orphousv.cn
Bacchus昨晚一宿都没睡好,一是因为昨天深夜下了场大暴雨,电闪雷鸣的,二是内心空虚。他已经好长时间没有练手的机会了,以致他曾一度怀疑自己是不是被遗忘了。这天一大早,电话就叫嚷起来,把他从睡梦中猛地拉了出来。当他晕晕地接听电话时,他竟然从床上蹦了下来。事实说明,他并未被遗忘。
原文请访问:http://blog.orphousv.cn
Bacchus昨晚一宿都没睡好,一是因为昨天深夜下了场大暴雨,电闪雷鸣的,二是内心空虚。他已经好长时间没有练手的机会了,以致他曾一度怀疑自己是不是被遗忘了。这天一大早,电话就叫嚷起来,把他从睡梦中猛地拉了出来。当他晕晕地接听电话时,他竟然从床上蹦了下来。事实说明,他并未被遗忘。
作者:冷漠 (C.R.S.T) 来源:http://www.lengmo.net
最近一直出差在外在做项目,在评估项目中学到很多东西,也积累了一点经验,总想抽时间整理下,也算是对自己前一段时间的工总结吧。
本次要总结的是关于风险评估项目中的渗透测试,可能提到渗透测试,大家就会想到黑客入侵,而渗透测试和黑客入侵的最大区别在于渗透测试是经过客户授权的,采用可控制、非破坏性质的方法和手段发现目标服务器和网络设备中存在的弱点。
最近一直出差在外在做项目,在评估项目中学到很多东西,也积累了一点经验,总想抽时间整理下,也算是对自己前一段时间的工总结吧。
本次要总结的是关于风险评估项目中的渗透测试,可能提到渗透测试,大家就会想到黑客入侵,而渗透测试和黑客入侵的最大区别在于渗透测试是经过客户授权的,采用可控制、非破坏性质的方法和手段发现目标服务器和网络设备中存在的弱点。
When the industry was in its infancy, the term Penetration Testing was commonly used to describe a test whereby an authorised individual would attempt to break into a computer system. Supposably this would give a real life „what a hacker could do‟ review of the security of a system.
Nowadays Penetration testing is widely used to describe a security review of IT Systems. This might include reviews of components such as:
Nowadays Penetration testing is widely used to describe a security review of IT Systems. This might include reviews of components such as:
内网,很多人应该形成了这个概念,很多大型网络的外部网站或是服务器不一定有用,当然外网也是一个突破口。很多时候我们直接从外网入手,随着安全的不断加固,已变得越来越困难。那么黑客通常是怎么进行内网渗透的,内网渗透又是怎样与社会工程学联系起来呢,今天主要描述黑客内网渗透的常用操作手法,关于如何获得内网机器,请查找我以前的一篇文章《内网渗透---如何打开突破口》。
文章作者:rebeyond
信息来源:邪恶八进制信息安全团队
● 轻车熟路
一个对新飞鸿有意见的亲密朋友找我说能不能把这个公司的网站给搞了,我一听公司,心想,企业站都是垃圾,好搞,便痛快答应(人品真好!),呵呵,但是后来才发现没我想像的那么简单。
信息来源:邪恶八进制信息安全团队
● 轻车熟路
一个对新飞鸿有意见的亲密朋友找我说能不能把这个公司的网站给搞了,我一听公司,心想,企业站都是垃圾,好搞,便痛快答应(人品真好!),呵呵,但是后来才发现没我想像的那么简单。
作者:草哲
前些日子在家无聊,去了一些视频站看看搞笑的视频啥的,听说偶偶娱乐那个站还不错,但是打开来卡的要命,视频半天也不动,郁闷!偶然间不知道点进了哪个连接,进入了一个219.238.xxx.xxx这个地址,FLASH做的还不错,呵呵!
前些日子在家无聊,去了一些视频站看看搞笑的视频啥的,听说偶偶娱乐那个站还不错,但是打开来卡的要命,视频半天也不动,郁闷!偶然间不知道点进了哪个连接,进入了一个219.238.xxx.xxx这个地址,FLASH做的还不错,呵呵!
作者: 伤心的鱼 出处:IT168
现在越来越多的入侵是针对第三方的插件或者文件。那么笔者就带领大家走进ewebeditor在线文本编辑器的世界。了解该如何利用ewebeditor在线文本编辑器的疏漏来获取网站的权限。
说起安全检测的方法大家可能最熟悉的要属注入,上传或者利用网站的配置不当或者管理员的疏忽等等,但是现在越来越多的入侵是针对第三方的插件或者文件。那么笔者就带领大家走进ewebeditor在线文本编辑器的世界。了解该如何利用ewebeditor在线文本编辑器的疏漏来获取网站的权限。
现在越来越多的入侵是针对第三方的插件或者文件。那么笔者就带领大家走进ewebeditor在线文本编辑器的世界。了解该如何利用ewebeditor在线文本编辑器的疏漏来获取网站的权限。
说起安全检测的方法大家可能最熟悉的要属注入,上传或者利用网站的配置不当或者管理员的疏忽等等,但是现在越来越多的入侵是针对第三方的插件或者文件。那么笔者就带领大家走进ewebeditor在线文本编辑器的世界。了解该如何利用ewebeditor在线文本编辑器的疏漏来获取网站的权限。
注:本站授权首发,转载请注明来源
Author:Mickey
要连接远程的 Oracle 数据库,需要知道 SID,用户名, 密码,当然还有最重要的 IP 地址。SID 如果被管理 员修改的话,可以利用 sidguess 来进行破解,速度非常的快,至于成功与否,就要看你的字典配置了。破解 效果如图 1。
Author:Mickey
要连接远程的 Oracle 数据库,需要知道 SID,用户名, 密码,当然还有最重要的 IP 地址。SID 如果被管理 员修改的话,可以利用 sidguess 来进行破解,速度非常的快,至于成功与否,就要看你的字典配置了。破解 效果如图 1。
注:本站授权首发,转载请注明来源
Author:Mickey
最近看了些有关 Oracle 的安全资料,看后随手做了一个渗透测试,把过程记录下来方便日后查阅.。先用 SuperScan4.0 扫描下要测试的主机,速度很快,结果如图 1 所示:
Author:Mickey
最近看了些有关 Oracle 的安全资料,看后随手做了一个渗透测试,把过程记录下来方便日后查阅.。先用 SuperScan4.0 扫描下要测试的主机,速度很快,结果如图 1 所示:
作者:冰的原点[L.S.T]
说明下:现在看来,这篇文章很没有意思,不过当时的我的思路没有现在开阔,所以拿出来看看!见笑了!我是菜鸟咯!
某日下课后,无聊,不想做作业。打开电脑,上Q,打开酷狗,哎,先听下歌解解闷。小风同学不是在么?和他先扯几句说先,哎,还是无聊,他丢了个站点过来,说“干掉它”。哎,反正没事干,就看下啦。
说明下:现在看来,这篇文章很没有意思,不过当时的我的思路没有现在开阔,所以拿出来看看!见笑了!我是菜鸟咯!
某日下课后,无聊,不想做作业。打开电脑,上Q,打开酷狗,哎,先听下歌解解闷。小风同学不是在么?和他先扯几句说先,哎,还是无聊,他丢了个站点过来,说“干掉它”。哎,反正没事干,就看下啦。
