- dvsp2上传漏洞再现----击溃动网sp2的神话
- 前段时间听说动网的上传再次出现了不可修复的错误,有人居然说是upload.inc有错,我仔细的读了N遍代码,可以肯定的说,upload.inc应该没有办法利用,今天无意中跑到动网的官方网站上去仔细的看了一下,个人资料修改里有上传,但是发帖里却没有上传,upload.ASP和post_upload.asp同样用到了upload.inc,证明这个文件绝对没有
- 分类:网络安全
- PHP注射一路小跑
- PHP注射库'or1=1'or'1=1'/*'%23'andpassWord='mypassid=-1unionselect1,1,1id=-1unionselectchar(97),char(97),char(97)id=1unionselect1,1,1frommembersid=1unionselect1,1,1fromadminid=1unionselect1,1,1fromuseruserid=1andpassword=mypassuserid=1andmid(password,3,1)=char(112)userid=1andmid(password,4,1)=char(97
- 分类:网络安全
- 利用%5c绕过验证
- 说到%5c,你是不是想起了当前流行的那个%5c暴库漏洞,呵呵,本文就是对%5c利用的探索(呵呵,当然有我提出的新东东,或许对你有帮助哦^_^)。 好,我们先追根溯源,找到那个漏洞的老底。看看绿盟2001年的漏洞公告:_bugdo=viewbug_id=1429"http://www.nsfocus.net/index.PHP?act=sec_bugdo=viewbug_id=1429N年以前利用这个
- 分类:网络安全
- 经验共享:安全基础信息安全不可低估的30个细节
- 信息安全?“不就是安装杀毒软件,在电脑上设设密码吗”?当你这样想,你就和全世界95%的人一样,都错估、低估了信息对公司的致命影响;好在全世界就是有5%的人,和《中国财富》一样,恐惧、震慑、急着应变于信息对商业世界爆炸性的影响力。 小心30个细节,一分钟毁灭你的公司,这是一个以1%、2%决胜负的商业时代,一个信息就
- 分类:网络安全
- 经验共享:只需三步封杀SQL Server注入漏洞方法
- SQL注入是什么? 许多网站程序在编写时,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码(一般是在浏览器地址栏进行,通过正常的www端口访问),根据程序返回的结果,获得某些想得知的数据,这就是所谓的SQL Injection,即SQL注入。 网站的恶梦——SQL注入 SQL注入通过网页对
- 分类:网络安全
- 安全知识共享: 保障你邮箱安全的几个不常用方法
- 电子邮件已经成为我们网络生活或者是网上办公的重要手段,特别是进行网上办公,电子邮件的安全性尤其重要,介于电子邮件的安全我们也曾采用过许多方法,对电子邮件的安全也起到了很大的作用。除了一些比较常用的方法之外,其实还有一些方法需要我们去挖掘。这里就介绍几种不被许多用户知道的,不常用的电子邮件安全处理方法
- 分类:网络安全
- 安全知识共享: 如何一次性的干掉牛皮癣般的木马
- 问:现在的木马种类繁多,而且有些木马十分顽固,根本没法杀干净。有什么方法能有效的防止木马和清除它们的方法吗? 答: 什么是木马 你所说的木马,也就是一种能潜伏在受害者计算机里,并且秘密开放一个甚至多个数据传输通道的远程控制程序,一般由两部分组成:客户端(Client)和服务器端(Server),客户端也称为控制端。 木马的
- 分类:网络安全
- 另类杀毒 用Ftype巧妙清除病毒
- 有次同学电脑中了病毒,我去看了一下,是个QQ病毒,由于挺长时间没有上网搜集病毒方面消息了,我对这些病毒的特性也不甚了解。 我先打开“进程管理器”,将几个不太熟悉的程序关闭掉。但刚关掉一个,再去关闭另外一个时,刚才关闭的那个马上又运行了。没办法,我决定从注册表里先把启动项删除后,再重启试试,结果,我刚把
- 分类:网络安全
- 深入剖析EXCHANGE SERVER的邮件存储和日志
- 文以数据库的基本原理为基础,分析了EXCHANGE SERVER的存储系统,并说明了各部分的作用。 一、IS服务和ESE的层次关系 IS服务我们一定很了解了,它是EXCHANGE服务器中重要的服务之一,它控制着对邮箱和PF的存储操作请求。我们也知道,EXCHANGE服务器的存储实际上是由叫ESE的数据库引擎来管理的。这个ESE引擎是微软专门为保存
- 分类:网络安全
- 让超级免子的开机密码形同虚设
- 超级免子是一个很好用的系统优化软件,很显然作者对于提高注册表、TCPIP、安全管理等方面有较深的研究,但是对于该款软件提供的开机密码,我却不敢恭维。 破解方法简单的让人不敢相信: 在WINDOWS SERVER 2003中安装了这个软件,设置超级免子的开机密码后重新开机,不一会,显示器上出现超级免子的密码提示框, 输入三次错
- 分类:网络安全
- 禁止下载的方法
- 最近看到很多人问起关于如何在网吧中下载的问题,写了此贴,并不是鼓励去搞破坏。另外,如有说错的地方还请指出,不要误人子弟。由于每个网吧的安全设置都不一样,所以我将我知道的在这里说一下,遗漏之处还望补充。第一种:这种是最好解决的了,你可以点击IE(什么不知道什么是IE,其实就是我们浏览网页用的那个东东)的“
- 分类:网络安全
- 10大方法保护好DNS服务器
- DNS软件是黑客热衷攻击的目标,它可能带来安全问题。这里是一些保护DNS服务器最有效的方法。 1.使用DNS转发器 DNS转发器是为其他DNS服务器完成DNS查询的DNS服务器。使用DNS转发器的主要目的是减轻DNS处理的压力,把查询请求从DNS服务器转给转发器, 从DNS转发器潜在地更大DNS高速缓存中受益。 使用DNS转发器的另一个好处是
- 分类:网络安全
- 曝光 网吧管理中常见的10大漏洞
- 一、IE菜单漏洞 找回菜单 ---轻松 微软老大的补丁越打越多,这样,倒不是说比尔大叔的漏洞越来越多了,而是正应了那句“上有政策,下有对策”,网管软件在旧版本中的屏蔽IE中的文件和工具菜单的漏洞有一大箩筐,新版本的漏洞就不那么容易发现了,不过,请看…… 探秘欲望度:★★★★★ 探秘难度:★★★☆☆ 探秘方法:这
- 分类:网络安全
- 网络上出现假Windows安全补丁
- 华盛顿邮报:假Windows安全补丁出现网络,安全公司警告用户提防“iPod诈骗” 安全专家指出,最近一周内,假Windows安全补丁程序和iPod发票是木马市场的新动向,通过这种伪装手段,黑客试图将木马安装到用户的电脑中。日前,安全公司Websense发布了警告,称一份不明邮件出现在网络,内容警告用户其系统发现漏洞,并且要求其
- 分类:网络安全
- 仁者见仁:Windows Vista安全性能细评说
- 下一版本的Windows客户端提供了一些不错的功能,但没有实践就没有发言权,我们还是必须等到明年它发布后,人们纷纷运行,才可以对它做出更客观正确的评价。 数年以来,尤其是Windows XP Service Pack 2发布后,微软一直在紧锣密鼓地加强Windows和Internet浏览器的安全性。有时,微软所做出的努力是很难看到的,但我认为他们
- 分类:网络安全
- Vista安全性和数据保护改进
- 安全性威胁在不断地加大。为了防止受到来自 Internet 和无线网络上的威胁,Microsoft Windows 客户端操作系统也必须加以完善。Windows Vista 是迄今为止最安全、最值得信赖的 Windows 操作系统,它可帮助各个组织满怀信心地实制湟滴窈图扑隳勘辍1疚慕樯茏钕灾陌踩愿慕⒄庑└慕吹囊娲Γ约拔裁葱鹿δ芏?IT
- 分类:网络安全
- 用Apache的CGI封装器来加强安全性
- 如果要加强Apache服务器的安全性,就应该检查CGI(公共网关接口)的使用。一个应用程序中的漏洞通常在用户接触数据库时的某个地方暴露出来,而这个地方正是CGI。它是Web服务器和外部程序之间的桥梁,用来告知这些程序该如何执行以满足浏览器的需求。CGI控制着两个方向的数据格式。它是一个协议,而不是一种语言,可以用很多
- 分类:网络安全
- Linux服务器平台的安全保护
- 互联网上有许多企业公司和组织采用Linux作为服务器平台。当这些服务器与互联网连接以提供应用服务时,不可避免地会成为攻击目标。本文讨论Linux系统安全配置的一些基本知识,以帮助你保护Linux系统。虽然在这里以Red Hat 6.0为例子,但也应该适用于其它Linux发行版本。 1、安装 配置系统安全的头一步最好是在系统的开始--
- 分类:网络安全
- 重拳出击之信息服务器安全大比拼
- 抛开微软在漏洞方面的坏名声, IIS和Apache这两个平台的脆弱性不相上下,许多安全攻击都可以追溯到管理员因技术方面的欠缺导致的错误配置。网站管理员新近才开始在公司的网站服务器平台上投入大量精力。从前,如果选用的操作系统是Windows系列的,那么他们就运行微软的Internet信息服务器(IIS,Internet Information Server
- 分类:网络安全
- Unix的Web服务器安全指南
- 在计算机网络日益普及的今天,计算机安全不但要求防治计算机病毒,而且要提高系统抵抗黑客非法入侵的能力,还要提高对远程数据传输的保密性,避免在传输途中遭受非法窃� 1疚慕鼋鎏致墼诠乖霿eb服务器时可能出现的一些情况,希望能引起重视。一. 安全漏洞Web服务器上的漏洞可以从以下几方面考虑:1.在Web服务器上你不让人访
- 分类:网络安全
- 给IIS Web虚拟主机服务器装上一把锁
- 为了提高IIS的安全性,微软提供了两个工具:IIS Lockdown和URLScan,其中IIS Lockdown 2.1包含了URLScan。IIS Lockdown 2.1具有如下功能:⑴ 禁用或者删除不必要的IIS服务和组件。⑵ 修改默认配置,提高系统文件和Web内容目录的安全性。⑶ 用URLScan来过滤HTTP请求。本文介绍如何运用IIS Lockdown 2.1的前两项功能。注意本
- 分类:网络安全
- 运行IIS的最小NTFS权限虚拟主机
- 本文介绍了正常运行IIS所需要的最小NTFS权限,当IIS不能正常运行或者想严格限制权限的时候可以参照此文,以下是操作的7个步骤。1、 选取整个硬盘:System:完全控制Administrator:完全控制(允许将来自父系的可继承性权限传播给对象)2、 \Program Files\Common Files:Everyone:读取及运行列出文件目录读取(允许将来自
- 分类:网络安全
- IIS与SQL服务器安全加固详解
- IIS Web服务器安全加固步骤: 步骤 安装和配置 Windows Server 2003。注意:1.将\System32\cmd.exe转移到其他目录或更名;2.系统帐号尽量少,更改默认帐户名(如Administrator)和描述,密码尽量复杂;3.拒绝通过网络访问该计算机(匿名登录;内置管理员帐户;Support_388945a0;Guest;所有非操作系统服务帐户)4.建议对一
- 分类:网络安全
- 基于角色的方式管理SQL Server安全
- 在 SQL Server 2000 中,安全管理可分为数据库安全管理和服务器安全管理,数据库的管理主要涉及到用户对数据库的权限,服务器的管理主要是用户对整个服务器的操作权限。在这些权限管理中,使用基于角色的方式使管理配置变得非常简单。 基于角色管理数据库安全 当我们新建一个数据库后,会在数据库中看到两个容器:用户和角
- 分类:网络安全
- SQL Server的几个安全问题个个谈(上)
- 单位的小王学习SQL Server已有一段时间了,已经做了个不错的管理系统,有次小王让我帮着看看库的设计有没有问题,其间我发现他的安全意识非常薄弱,这也许是初学者容易忽视的问题,本文探讨一些SQL Server常见的安全问题,是给初入SQL Server的人看的,写的肯定很絮叨,高手勿读。本文的用的是SQL Server 2000,下文中都简
- 分类:网络安全
- 配置SQL Server 2000九大措施安全
- 数据库是电子商务、金融以及ERP系统的基础,通常都保存着重要的商业伙伴和客户信息。大多数企业、组织以及政府部门的电子数据都保存在各种数据库中,他们用这些数据库保存一些个人资料,比如员工薪水、个人资料等等。数据库服务器还掌握着敏感的金融数据。包括交易记录、商业事务和帐号数据,战略上的或者专业的信息,比如
- 分类:网络安全
- SQL Server的几个安全问题个个谈(下)
- 1)、新建aaa用户如图17,新建登录后出现图18界面,输入用户名aaa,在输入个强壮的密码。 图17 图182)、设置权限如图18,在“服务器角色”选项中什么也不选,如图19,在“数据库访问”选项中只� 皒yz”库,也就是说只让aaa用户访问xyz库。“数据库角色中允许”只选默认的“public”。 图19 图203)、测试设置好后,用aaa用
- 分类:网络安全
- Oracle Database SQL注入漏洞
- 漏洞信息 Oracle是一款商业性质功能强大的数据库。 Oracle SYS.KUPV$FT_INT包含多个SQL注入问题,远程攻击者可以利用漏洞获得敏感信息。 SYS.KUPV$FT_INT包在函数UPDATE_JOB, ACTIVE_JOB, ATTACH_POSSIBLE, ATTACH_TO_JOB, CREATE_NEW_JOB, DELETE_JOB, DELETE_MASTER_TABLE, DETACH_JOB, GET_JOB_INFO, GET_JOB_QUEUES, GE
- 分类:网络安全
- Oracle Reports文件覆盖漏洞
- 描述: Oracle是一款大型的商业数据库系统,Oracle Reports是Oracle的一款企业报表工具。 Oracle Reports Server的Web界面存在任意文件覆盖漏洞,攻击者可能利用此漏洞获取对主机的控制。 攻击者可以通过指定desname的特殊参数值导致Oracle Reports覆盖应用服务器上的任意文件。在Windows系统上攻击者可以以系统级权限覆盖
- 分类:网络安全
- 微软发布12款安全补丁 涉及所有Windows版本
- 新浪科技讯 美国当地时间2月8日(北京时间2月9日)消息,微软周二发布了12个安全漏洞补丁,其中8个危害程度为最高级别,攻击者可利用这些漏洞控制用户的整个系统,因此要求用户立即下载安装这些补� � 微软称,在发布的12个安全漏洞补丁中,8个属“危急”级别,其中7个可影响到Windows操作系统及相关应用软件,其中包括IE浏览
- 分类:网络安全