可以读/etc/passwd!这段。。[文件上载]PHP自动支持基于RFC1867的文件上载,我们看下面的例子:<FORMMETHOD="POST"ENCTYPE="multipart/form-data"><INPUTTYPE="FILE"NAME="hello"><INPUTTYPE="HIDDEN"NAME="MAX_FILE_SIZE"VALUE="10240"><INPUTTYPE="SUBMIT"></FORM>上面的代码让用户从本地机器选择一个文件,当点击提交后,文件就会被上载到服务器。这显然是很...
http://www.jb51.net//article/1514.htm
在日常的计算机操作中,我们随时随地都离不开密码——开机要使用CMOS密码、进Windows 98要使用用户密码、编辑Word文档要设置文档密码……,所有这些都为用户的数据安全提供了必要的安全保障!不过随着密码应用范围的增加,遗忘密码的情况也在与日俱增(谁也无法保证自己绝对不会忘记密码)!在忘记密码之后如何破解这些密码,尽可能减少损失就成为广大用户所关注的一个话题。为方便用户的使用,现将常用计算机密码的破解方法向大家作一简要介绍: 一、开机密码 根据用户设置的不同,开机密码一般分为两种不同情况,一种就是SETUP密码(采用此方式时...
http://www.jb51.net//article/1386.htm
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQLInjection,即SQL注入。 SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。 ...
http://www.jb51.net//article/1380.htm
在入门篇,我们学会了SQL注入的判断方法,但真正要拿到网站的保密内容,是远远不够的。接下来,我们就继续学习如何从数据库中获取想要获得的内容,首先,我们先看看SQL注入的一般步骤: 第一节、SQL注入的一般步骤 首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。 其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种: (A)ID=49这类注入的参数是数字型,SQL语句原貌大致如下: Select*from表名where字段=49 注入的参数为ID=49And[查询条件],即是生成语句: Select*f...
http://www.jb51.net//article/1379.htm
看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。 第一节、利用系统表注入SQLServer数据库 SQLServer是一个功能强大的数据库系统,与操作系统也有紧密的联系,这给开发者带来了很大的方便,但另一方面,也为注入者提供了一个跳板,我们先来看看几个具体的例子: ①http://Site/url.asp?id=1;execmaster..xp_cmdshell“netusernamepassword/add”-- 分号...
http://www.jb51.net//article/1378.htm
现在的企业当中一般都是使用的NT系统,也不得不承认,NT系统的确是非常适合企业使用的操作系统,然而“黑客”的攻击引来了企业信息安全危机…… 得到了NT的管理员密码还能做什么,还不是想做什么就做什么呗。但到底能做什么呢?能详细答出来的只怕不会很多,而且很多企业系统管理员就认为密码为空没什么,因为他们压根就不知道“黑客”会怎么做。本文介绍的就是得到NT的管理员密码以后入侵一个企业计算机群的初级和中级手法,尤其是在一个大型企业当中,企业系统管理员的密码往往关系着整个公司的信息泄密,以及公司的数据的丢失,严重的影响到一个企业的发展和生存。 首先,我们先假定得到了...
http://www.jb51.net//article/1368.htm
浏览网页会感染“病毒”,浏览网页会感染木马,你相信吗?大约半年前就有人使用这种技术来进行攻击了!恶意代码具有比较大的隐蔽性,到目前为止,还没有什么病毒防火墙能很好地阻止恶意代码的攻击,大多数甚至根本就不能发现。 《电脑报》今年25期D4版曾介绍了一个叫Gohip的网站,可以修改浏览器的默认网址,使其指向Gohip网站。其实这还算客气的了,如果你去浏览了一个叫“万花谷”的网站,你就会感觉到Gohip算“仁慈”了。 一、切身体验 在打开多种病毒防火墙的情况下进入该网站后都没有报警,可鼠标马上变慢,当离开该网站时,突然弹开...
http://www.jb51.net//article/1365.htm
[code]1.判断是否有注入 ;and 1=1 ;and 1=2 2.初步判断是否是mssql ;and user>0 3.注入参数是字符 ’and [查询条件] and ’’=’ 4.搜索时没过滤参数的 ’and [查询条件] and ’%25’=’ 5.判断数据库系统 ;and (select count(*) from sysobjects)>0&...
http://www.jb51.net//article/1347.htm
SQLServer2000的安全配置在进行SQLServer2000数据库的安全配置之前,首先你必须对操作系统进行安全配置,保证你的操作系统处于安全状态。然后对你要使用的操作数据库软件(程序)进行必要的安全审核,比如对ASP、PHP等脚本,这是很多基于数据库的WEB应用常出现的安全隐患,对于脚本主要是一个过滤问题,需要过滤一些类似,‘;@/等字符,防止破坏者构造恶意的SQL语句。接着,安装SQLServer2000后请打上补丁sp1以及最新的sp2。 下载地址是:http://www.microsoft.com/sql/downloads/2000/sp1.asp 和http://www.m...
http://www.jb51.net//article/1342.htm
浏览器的后退按钮使得我们能够方便地返回以前访问过的页面,它无疑非常有用。但有时候我们不得不关闭这个功能,以防止用户打乱预定的页面访问次序。本文介绍网络上可找到的各种禁用浏览器后退按钮方案,分析它们各自的优缺点和适用场合。 一、概述 曾经有许多人问起,“怎样才能‘禁用’浏览器的后退按钮?”,或者“怎样才能防止用户点击后退按钮返回以前浏览过的页面?”在ASP论坛上,这个问题也是问得最多的问题之一。遗憾的是,答案非常简单:我们无法禁用浏览器的后退按钮。 起先我对于居然有人想要禁用浏览器的后退按钮感到不可思议。后来,看到竟然有那么多的人想要...
http://www.jb51.net//article/1340.htm
在论坛中我看到过许多相同或相似的问题:我怎样在我的DataGrid的每一行中放置检查框、文本框等等?怎样更新它们的值?答案相当简单,在这篇文章中,我将向你展示如何完成它。我们都知道,DataGrid是一个功能非常强大的工具。根据我的经验,在90%以上的时间中,DataGrid都被用来显示数据,并可能一次编辑一行数据。 而某些时候,可能需要一次编辑多行,甚至是所有数据。一个实际的例子就是在网上销售物品的应用程序中,顾客可能一次要变更他们篮子中的一种或多种物品,单击检查框移去他们不想要的商品。构想在这个例子中,我写了一个简单的WebForm来管理存储在XML中的联系人列表。这...
http://www.jb51.net//article/1297.htm