随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一 部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得 某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据,是高手与“菜鸟”的根本区别。
...
腾跃博客
起飞的时候很困难,但还是努力的冲向天空,带着从不曾有的勇敢。
2008年7月10日
SQL注入原理
Tags: 入侵技术 系统漏洞
发布:admin | 分类:黑色风暴 | 评论:0 | 引用:0 | 浏览:
2008年7月5日
迅雷ActiveX控件远程代码执行漏洞
Summary:
迅雷是一款在中国非常流行的基于P2SP技术的下载软件。更多详细信息请参考:
http://www.xunlei.com
在迅雷5的一个ActiveX控件中存在一个远程代码执行漏洞,远程攻击者可利用此漏洞在被攻击者系统上以当前浏览器权限执行任意代码,进而可安装木马以及间谍程序。
...
Tags: 系统漏洞
发布:admin | 分类:黑色风暴 | 评论:1 | 引用:0 | 浏览:
2008年7月4日
修改机器名同时修改IWAM_HOSTNAME和IUSR_HOSTNAME
Q:
修改机器名时,希望同时修改IWAM_HOSTNAME和IUSR_HOSTNAME,如何操作?
A:
假设原机器名为OldName,新机器名为NewName。
1、将机器名从OldName改为为NewName。
2、进入AdminScripts目录,通常是C:\Inetpub\AdminScripts,然后运行:
...
Tags: 入侵技术 软件
发布:admin | 分类:黑色风暴 | 评论:1 | 引用:0 | 浏览:
2008年7月4日
远程桌面超出了最大允许连接数的解决办法
一台远程服务器,PCanywhere显示连接忙,无法连接。使用远程连接显示“超过了最大允许连接数”,第一个问题可以过去操作一下服务器,但是也必须把第二个问题解决,搜索了一下,摘抄一些有用的东西。
使用远程桌面的朋友可能经常会遇到“超出最大允许连接数”的问题,这是因为remote desktop for administrator缺省设置是2个连接,而且如果远程登录后不注销而直接关闭远程桌面,实际上session还留在服务器端,所以再次连接就很容易出现上面的提示。解决办法一是用注销来关闭远程桌面,二是限制已经断开连接的session存在的时间,三是增加连接数。
...
使用远程桌面的朋友可能经常会遇到“超出最大允许连接数”的问题,这是因为remote desktop for administrator缺省设置是2个连接,而且如果远程登录后不注销而直接关闭远程桌面,实际上session还留在服务器端,所以再次连接就很容易出现上面的提示。解决办法一是用注销来关闭远程桌面,二是限制已经断开连接的session存在的时间,三是增加连接数。
...
Tags: 入侵技术 远程控制 远程监控 远程软件 软件
发布:admin | 分类:黑色风暴 | 评论:0 | 引用:0 | 浏览:
2008年6月25日
Symantec Altiris Deployment Solution多个安全漏洞
BUGTRAQ ID: 29198,29199,29194,29218,29196,29197
Symantec Altiris Deployment Solution是自动化的操作系统部署解决方案,用于从统一的位置部署和管理服务器、桌面和笔记本等。
Symantec Altiris Deployment Solution中存在多个安全漏洞,可能允许恶意的本地或远程用户获得权限提升、操控某些数据、泄露敏感信息、执行SQL注入攻击或入侵有漏洞的系统。
...
Tags: 入侵技术 系统漏洞
发布:admin | 分类:黑色风暴 | 评论:0 | 引用:0 | 浏览:
2008年6月25日
Oblog漏洞重现
########################################################################
程序下载:http://down.oblog.cn/oblog4/oblog46_Final_20080403.rar
########################################################################
...
Tags: 入侵技术 系统漏洞
发布:admin | 分类:黑色风暴 | 评论:0 | 引用:0 | 浏览:
2008年6月25日
完全破解灰鸽子成为会员
1.给灰鸽子脱壳
要想得到灰鸽子的全部功能并挖出他的漏洞,就要给他脱壳。用ASPackdie给他脱壳(因为它是用ASPack加的壳),这个软件很好找,一些黑客网站上都有。先运行ASPackdie找到灰鸽子的主文件H_Client.exe,就会自动脱壳。脱壳前文件709k,脱壳后2.69M。把脱壳后的文件upacked.exe改为H_Client.exe,原文件H_Client.exe改为H_Client1.exe以后提到的H_Client.exe均为脱壳后的文件。
...
Tags: 远程监控 远程软件 破解软件
发布:admin | 分类:黑色风暴 | 评论:0 | 引用:0 | 浏览:
2008年6月17日
肉鸡的俘虏!一个菜鸟木马黑客的自(转)
曾几何时,在计算机技术人员眼中,黑客还被当成了天才来膜拜。即使到了中国所特有的红客出现,也因为所谓的正义感而尚能被网民接受。但在目前这个几乎全民皆可以做黑客的时代,黑客守则中的不恶意破坏任何系统已无人遵守,黑客精神被彻底抛弃。
在赤裸裸的金钱诱惑下,天天都有数不清的人怀着各种目的,前赴后继踏入网络地下世界。Kevin的7天黑客日记,让我们看到了互联网“黑社会”触目惊心的事实:许多人以偷窥为乐,交流着各种木马入侵手段,把肉鸡(被黑客控制的他人电脑)卖给别人,甚至还有所谓的“师父”,制作简单易懂的教程。
...Tags:
发布:admin | 分类:黑色风暴 | 评论:1 | 引用:0 | 浏览:
2008年6月17日
黑客狙击Oracle系统的八大常用套路
Oracle的销售在向客户兜售其数据库系统一直把它吹捧为牢不可破的,耍嘴皮子容易,兑现起来可就不那么容易了。不管什么计算机系统,人们总能够找到攻击它的方法,Oracle也不例外。本文将和大家从黑客的角度讨论黑客是用哪些方法把黑手伸向了你原以为他们不能触及的数据,希望作为Oracle的数据库管理员能够清楚的阐明自己基础架构的哪些区域比较容易受到攻击。同时我们也会讨论保护系统防范攻击的方法。
1.SQL注入攻击
如今大部分的Oracle数据库都具有为某种类型网络应用服务的后端数据存储区,网页应用使数据库更容易成为我们的攻击目标体现在三个方面。其一,这些应用界面非常复杂,具有多个组成成分,使数据库管理员难以对它们进行彻底检查。其二,阻止程序员侵入的屏障很低,即便不是C语言的编程专家,也能够对一些页面进行攻击。下面我们会简单地解释为什么这对我们这么重要。第三个原因是优先级的问题。网页应用一直处于发展的模式,所以他们在不断变化,推陈出新。这样安全问题就不是一个必须优先考虑的问题。
...Tags: 入侵技术
发布:admin | 分类:黑色风暴 | 评论:0 | 引用:0 | 浏览:
2008年6月7日
CGI Hack与Webshell研究资料整理
总体思路,跳过限制,查看敏感文件和密码相关文件。写入一句话cgi,进后台试传webshell(后台如果加验证或者MD5过的时候,可以试着
cookies欺骗,本地提交),寻找可执行的目录和相关函数,拿shell…………》提权
感谢EMM和ps的睿智和他们高超的脚本技术,还有以前老红4的脚本群英和国外的那些牛淫们
注“
...
