作者: kostis90gr翻译: 黯魂[S.S.T]本文已发表于《黑客防线》6月刊，版权属于《黑客防线》及脚本安全小组，转载请保持文章完整性，谢谢 ：）这份指南仅仅是出于报告目的,如果任何人把它用于违法目的,我不负责任.通过使用javascript注入,用户不用关闭网站或者把页面保存在他的PC上就可以改变网站中的内容.这是由他的浏览器的地址栏完成的.命令的语法看上去像这样:Copy codejavascrit:alert(#command#)比方说如果你想看到在网站http://www.example.com里面的一个警告框,那么首先在地址栏输入URL...

这几天着实为sql注入漏洞伤了神，网上的代码好多不是很深奥就是麻烦。终于找到了万能防注代码，分享了，呵呵 。操作简单上手，只要来个包含或放入conn.asp中，搞定。末了，估计还有一些危险字符没有放全，帮我补全一下，谢谢了！<% ’’’’--------定义部份------------------ Dim Fy_Post,Fy_Get,Fy_In,Fy_Inf,Fy_Xh,Fy_db,Fy_dbstr ’’’’自定义需要过滤的字串,用 "防" 分隔 Fy_In = "’’’’防;防and防...

最近我的网站突然出现访问的迟钝，并且打开之后杀毒软件立即提示含有木马病毒。我就很纳闷，运行了4年的网站一直都好好的最近怎么出现病毒提示呢。职业习惯原因打开了网站的源代码查看，原来在网页源代码的头部被加入了<iframe>嵌套框架网页，该网页执行木马程序……按照常理我心中一寒：估计是服务器被人攻陷了，所有文件代码被加了此行代码，于是FTP上去，下载文件下来查看却没有该代码。于是询问服务器管理员含笑，他一听就说：“是中ARP欺骗的病毒攻击了”。那么什么是“ARP欺骗”呢？首先，ARP的意思是AddressResolutionProtocol（地址解析协议），它是一个位于TCP/IP协议...

这几天太忙，继续连载哈哈，争取半个月结束。上文说到数据库自带的不安全输入过滤功能，但这样的功能不是所有数据库都有的。目前大概只有MySQL,SQLite,PostgreSQL,Sybase带有这样的功能，而包括Oracle和SQL Server在内的很多数据库都没有。鉴于这样的情况，一般开发者采用一种通用的方法来避免不安全的数据写入数据库--base64编码。这样可以避免所有可能引起问题的特殊字符造成的危险。但Base64编码后的数据容量大概会增加33%，比较占用空间。在PostgreSQL中，使用Base64编码数据还有个问题，就是无法使用’LIKE’查询。所以总结这么多，我们知道...

PHP与SQL注入攻击[二]Magic Quotes上文提到，SQL注入主要是提交不安全的数据给数据库来达到攻击目的。为了防止SQL注入攻击，PHP自带一个功能可以对输入的字符串进行处理，可以在较底层对输入进行安全上的初步处理，也即Magic Quotes。(php.ini magic_quotes_gpc)。如果magic_quotes_gpc选项启用，那么输入的字符串中的单引号，双引号和其它一些字符前将会被自动加上反斜杠\。但Magic Quotes并不是一个很通用的解决方案，没能屏蔽所有有潜在危险的字符，并且在许多服务器上Magic Qu...

Haohappyhttp://blog.csdn.net/Haohappy2004SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验，那么非常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实现，很可能使数据库中的纪录遭到暴露，更改或被删除。下面来谈谈SQL注入攻击是如何实现的，又如何防范。看这个例子：// supposed input$name = “ilia’; DELETE FROM users;”;mysql_query(“SELECT *&...

’屏蔽通过地址栏攻击  url=Request.ServerVariables("QUERY_STRING")  if instr(url,";")>=1 then  url=Replace(url,";","；") : Response.Redirect("?" & url)  end if  ’屏蔽通过表单攻击   for each item in&...

编写通用的asp防注入程序     选择自 ph4studio 的 Blog  关键字   编写通用的asp防注入程序 出处      sql注入被那些菜鸟级别的所谓黑客高手玩出了滋味，，发现现在大部分黑客入侵都是基于sql注入实现的 ，哎，，谁让这个入门容易呢，好了，，不说废话了，，现在我开始说如果编写通用的sql防注入程序 一般的http请求不外乎 get&nbs...

【原文地址】Tip/Trick: Guard Against SQL Injection Attacks 【原文发表日期】 Saturday, September 30, 2006 9:11 AMSQL注入攻击是非常令人讨厌的安全漏洞，是所有的web开发人员，不管是什么平台，技术，还是数据层，需要确信他们理解和防止的东西。不幸的是，开发人员往往不集中花点时间在这上面，以至他们的应用，更糟糕的是，他们的客户极其容易受到攻击。Michael Sutton 最近...

<script language="vbscript">         function checkstr(strname)             strn=trim(strname.value)          &nbs...

正在看的ORACLE教程是:Oracle也有注入漏洞。近期，MSN、江民等知名网站相继受到了黑客的威胁和攻击，一时间网络上风声鹤唳。本报编辑部接到本文作者（炽天使）的电话，他详细讲述了发现国内最大域名提供商（以下简称“X网”）网站漏洞的经过。本报编辑部立即和X网的首席工程师进行了交流，确认了漏洞的真实性，该工程师也及时修补了该漏洞。　　发现　　10月18日，笔者手上的项目做完以后，便和网上的朋友天南海北地聊天。听到朋友网站的开张，心里也是非常的羡慕。　　什么时候我才能拥有自己的主机和域名……想到申请主机和域名，笔者自然想到了X网（在中国太有名嘛^_^）。顺手打开其主页，突然看到了主页右上角的会...