这几天太忙，继续连载哈哈，争取半个月结束。上文说到数据库自带的不安全输入过滤功能，但这样的功能不是所有数据库都有的。目前大概只有MySQL,SQLite,PostgreSQL,Sybase带有这样的功能，而包括Oracle和SQL Server在内的很多数据库都没有。鉴于这样的情况，一般开发者采用一种通用的方法来避免不安全的数据写入数据库--base64编码。这样可以避免所有可能引起问题的特殊字符造成的危险。但Base64编码后的数据容量大概会增加33%，比较占用空间。在PostgreSQL中，使用Base64编码数据还有个问题，就是无法使用’LIKE’查询。所以总结这么多，我们知道...

PHP与SQL注入攻击[二]Magic Quotes上文提到，SQL注入主要是提交不安全的数据给数据库来达到攻击目的。为了防止SQL注入攻击，PHP自带一个功能可以对输入的字符串进行处理，可以在较底层对输入进行安全上的初步处理，也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc选项启用，那么输入的字符串中的单引号，双引号和其它一些字符前将会被自动加上反斜杠\。但Magic Quotes并不是一个很通用的解决方案，没能屏蔽所有有潜在危险的字符，并且在许多服务器上Magic Qu...

Haohappyhttp://blog.csdn.net/Haohappy2004SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验，那么非常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现，很可能使数据库中的纪录遭到暴露，更改或被删除。下面来谈谈SQL注入攻击是如何实现的，又如何防范。看这个例子：// supposed input$name = “ilia’; DELETE FROM users;”;mysql_query(“SELECT *&...

mac addresses flooding通过模拟大量的源mac地址来让switch的mac表爆满可通过port security解决。vlan hopping通过改变packet的vlan-id来访问其他的vlan严格设置trunk允许哪些vlan通过，把没用的port放到common vlan里（也就是vlan1）attacks between devices on a common vlan属于同一vlan间的设备也可以相互攻击的通过pvlan来解决dhcp star...

一、简单介绍 adsutil.vbs是什么？相信用过IIS的网管员不会不知道。这是IIS自带的提供于命令行下管理IIS的一个脚本。位于%SystemDrive%\Inetpub\AdminScripts目录下。足足有95,426 字节大小。这么大的脚本一看就知道功能强大。事实也的确如此。基本上我的感觉它就是个命令行下的“Internet 信息服务管理器”。（事实上2000的服务器上%SystemDrive%\Inetpub\AdminScripts下原有20多个vbs文件以供管理。而到了2003则只剩下adsutil.vbs一个了。足以说明它的功能是多么复杂）&n...

【原文地址】Tip/Trick: Guard Against SQL Injection Attacks 【原文发表日期】 Saturday, September 30, 2006 9:11 AMSQL注入攻击是非常令人讨厌的安全漏洞，是所有的web开发人员，不管是什么平台，技术，还是数据层，需要确信他们理解和防止的东西。不幸的是，开发人员往往不集中花点时间在这上面，以至他们的应用，更糟糕的是，他们的客户极其容易受到攻击。Michael Sutton 最近...

来源:黑白网络　　美国科学家最近表示，许多网站目前都面临一种新形式网络攻击的威胁，这种攻击将有害的数据包隐藏在看似合法的数据包中，通过超文本传输协议(HTTP)请求破坏网站。 　　超文本传输协议是用于从万维网服务器上传输超文本到本地浏览器的传输协议。它保证计算机正确快速地传输超文本文档，还能确定传输文档中的哪部分内容首先显示。据英国《新科学家》杂志网站13日报道，美国观火计算机安全公司的科学家发现，一种名为“HTTP请求走私”的网络攻击活动正以多种形式威胁互联网网站。 　　专家发现，“HTTP请求走私”最简单的一种攻击形式是添加多余的“内容长度的头信息标签”。通常，当浏览器...

注意：文章已经发表于8期黑客防线，版权归其所XST攻击描述：攻击者将恶意代码嵌入一台已经被控制的主机上的web文件，当访问者浏览时恶意代码在浏览器中执行，然后访问者的cookie、http基本验证以及ntlm验证信息将被发送到已经被控制的主机，同时传送Trace请求给目标主机，导致cookie欺骗或者是中间人攻击。XST攻击条件：1、需要目标web服务器允许Trace参数；2、需要一个用来插入XST代码的地方； 3、目标站点存在跨域漏洞。XST与XSS的比较:相同点：都具有很大的欺骗性，可以对受害主机产生危害，而且这种攻击是多平台多技术的，我们还可以利用Active控件、Flash、...

注：本文章只是讲解决针对蓝牙PIN码的最新攻击技术，以提醒大家注意防范，并没有其它目的。任何人不得使用本文中所介绍的技术做非法的事。最近，国内外多家网站纷纷刊登了一则关于针对蓝牙PIN码的最新攻击技术的新闻：通过强制两个正在通讯的蓝牙设备进行重新配对，并监听配对信息，攻击者可以在0.063秒内破解一个4位(十进制)的PIN码。今年6月上旬举办的世界无线技术会议也详细讨论了该攻击方法，securityfocus甚至说“这种新的攻击技术令很多关注无线技术的信息安全专家非常的震惊，因为以前关于攻击蓝牙PIN码的研究只涉及在不正确的蓝牙配置或特定的环境下，而此次是第一次全面性描述攻击蓝牙的技术”。针对...

这次我拿Discuz示范给大家看,首先我们都知道,Discuz在pm.php的程式中,并没有对   会员名字做过滤,导致我们可以写入一些script.   聪明的同学们,想到了吗?我们正可以利用这个漏洞写一段获取cookies的script.   这是要像看到颜色 就会反应的!(取自 数学补习班= =")   所以我们先从本端 获取自己cookies看看...   例句:  &...

近日,由于发现一些站点仍然存在UBB的跨站脚本攻击的漏洞.跨站脚本攻击虽然很少会对服务器造成一些什么比较大的影响,但对于一个站点来说,存在这种漏洞实在是太不值得!小则,弹点 什么东东出来;中则改改主页;重则窃取用户的COOKIES资料,更甚者将会G掉浏览者的硬盘.一个站点被变成一个恶意网站,还有谁敢来?如果再加上该站的站长比较"盲"一些,岂不乱套了? 　　　　小小的一段代码就真的能使一个站点成这样?好叫我们来具体的看看所谓的跨站脚本攻击到底会成为什么样的攻击模式.进入一个含UBB功能的站点，比如留言板,论坛，或是含提交程序的站点.首先,讲一下最简单的脚本...