这就给不怀好意的同学可乘之机，利用输入一些奇特的查询字符串，拼接成特定的SQL语句，即可达到注入的目的。不仅可以获取数据库重要信息，权限没有设置好的话甚至可以删除掉整个表。因此，SQL注入漏洞还是相当的严重的。发现以前偶刚学写的网站的时候也是靠拼接SQL语句吃饭滴……示例为了更好了学习和了解SQL注入的方法，做了一个示例网页，界面如下： 点击登陆这块的代码如下，注意第5行，我们使用了拼接SQL语句：[code]privatevoidLogin(){stringuname=tbName.Text;stringpwd=tbPassword.Text;stringsqlCmd="selec...

使用过ASP的同学一定见过这样的代码： Hello,[code]<%Response.Write(Request.Querystring("name"))%>[/code]假如我传入的name的值为： [html]<script>x=document.cookie;alert(x);</script>[/html]这样就可以直接盗取用户的cookie。所以我就可以发送一条链接地址让别人去点：[code]http://www.xxx.com/reg.asp?name=<script>x=document.cookie;alert...

...

|=———————————————————————————————–=||=—————–=[ 字符集导致的浏览器跨站脚本攻击 ]=—————–=||=———————————————————————————————–=||=————————————-=[ By jianxin ]=————————————=||=——————————-=[ jianxin@80sec.com ]=—————————-=||=————————————————————————————————=|文中<已经被替换为〈,如果需要文档,请访问htt...

溯雪是早年大名鼎鼎的黑客神器“刀光雪影”之一，其功能就是暴力破解表单，那时很是很流行的。但是后来有了验证码这个东东，几乎把溯雪推向了死路。但是真的完全是死路了吗？本文给你答案。对于验证码机制，网上的攻击手法都是利用数学方法分析图片，当然我们不能老是跟着别人的思路走噻，那样多没创意哦。想想验证码的思路，就是每次登陆的地方访问一个脚本文件，该文件生成含验证码的图片并将值写入到session里，提交的时候验证登陆的脚本就会判断提交的验证码是否与session里的一致。问题出现了，在登陆密码错误之后，我们不去访问生成验证图片的文件，那么如果session中的验证码没有被清空，此时验证码就是跟上次的一样...

1、防止跳出web目录　　首先修改httpd.conf，假如您只允许您的php脚本程式在web目录里操作，还能够修改httpd.conf文档限制php的操作路径。比如您的web目录是/usr/local/apache/htdocs，那么在httpd.conf里加上这么几行：　　php_admin_value open_basedir /usr/local/apache/htdocs　　这样，假如脚本要读取/usr/local/apache/htdocs以外的文档将不会被允许，假如错误显示打开的话会提示这样的错误： 　　Warning: open_base...

找到无线网络　　找到无线网络是攻击的第一步，这里推荐两款常用工具：　　1、Network Stumbler a.k.a NetStumbler。　　这个基于Windows的工具可以非常容易地发现一定范围内广播出来的无线信号，还可以判断哪些信号或噪音信息可以用来做站点测量。　　2、Kismet。　　NetStumbler缺乏的一个关键功能就是显示哪些没有广播SSID的无线网络。如果将来想成为无线安全专家，您就应该认识到访问点(Access Points)会常规性地广播这个信息。Kismet会发现并显示没有被广播的那些SSID，而这些信息对于发现无线网络是非...

防范跨站点脚本攻击的的方法1.利用 空格 替换特殊字符 % < > { } ; & + - " ' ( )2.使用@,具体而言是将以下语句exec="insert into user(username,psw,sex,department,phone,email,demo) values('"&username&"','"&psw&"','"&sex&...

服务器的ARP欺骗攻击的防范         这些天我的服务器几乎天天都被人ARP欺骗攻击，网页被挂木马，实在烦死了，深圳的龙岗电信机房实在是够恶心的，不得已，我只好寻找一些防范ARP攻击的方法，目前发现可以使用静态地址法和使用专用软件的方法来防范ARP欺骗攻击。　　静态地址法指的是，在本地服务器上，将路由器的MAC地址设置为静态的方式来阻止别人对我的ARP攻击，如果你也越到了类似的ARP欺骗攻击，也可以参考这个方法进行设置。　　首先，找到路由器真实的MAC地址，在没有被攻击的条件下，输入命令arp&nb...

用于防止sql注入攻击的函数，大家可以直接用了，不过大家光会用不行，要增强安全意识[code]'=========================='过滤提交表单中的SQL'==========================function ForSqlForm()dim fqys,errc,i,itemsdim nothis(18)nothis(0)="net user"nothis(1)="xp_cmdshell"nothis(2)="/add"nothis(3)="exec%20master.dbo.xp_cmdshell"nothis(4)="...

如今很多交换机都能够防止ARP攻击核心层Gateway，但是不能很有效的防止各VLAN间的攻击，防止VLAN间的攻击，我认为用VLAN内的VACL防止比较好，安全性能才能提高。　　由于公司交换设备用的是OMNI 但是安全方面应该也有相关设置作简单演示，不去深入100 3/12 default inactive 利用无用端口演示下:       [code]6602-SHA-15F> port-security 3/12 enable&nbs...