2007年6月25日

用vbs来写sql注入等80端口的攻击脚本

摘要: 昨天晚上在机器里乱翻时无意打开一个vbs脚本,突然发现一个以前没有见过的对象Test.SendRequest("http://" & g_sServer & "/testfiles/browser.asp"),虽然对象没有见过,但是意思很明显:发送http请求。本来以为是WMI script API的东东,但是没有找到创建对象的语句,这个脚本在Microsoft ACT里,Microsoft AC... 阅读全文

posted @ 2007-06-25 12:31 黔人阿诺 阅读(242) 评论(0) 推荐(0)

现在与大家探讨安全

摘要: 没有系统的学习过asp或者php编程,也没有系统的学习过access、sqlserver、mysql等数据库,所以我不是一个程序员,虽然经常干一些类似程序员的事情。因为要建立自己的站点,3次改版下来,多少也写了几千行程序,加上对一些论坛、留言板、文章发布系统的测试,也发现了一些问题,现在与大家探讨。在写这篇文章的时候,我除了在本机建立asp+access、asp+sql server测试环境,还在... 阅读全文

posted @ 2007-06-25 12:31 黔人阿诺 阅读(248) 评论(0) 推荐(0)

天晨设计整站SQL注入漏洞

摘要: 先发点牢骚,刚刚了一个陌生的城市(上海),很容易找到了个公司上班了,那就是天晨,在他们公司我负责的是安全,在这里,我没天都是在检测安全,先是服务器,后是整站,呵呵,很清楚的记得,我上了八天班,在这八天里面,我都是认真很认真的去把没个漏洞,一个一个的补上,担心的事终于来到了,呵呵,不知道是我的问题还是其他原因公司经理找我了,呵呵说我XXXX原因,不能继续留在公司,呵呵意料之中,当天晚上回到了朋友家里... 阅读全文

posted @ 2007-06-25 12:29 黔人阿诺 阅读(218) 评论(0) 推荐(0)

如何在SQL注入时保护数据库

摘要: SQL注入是防止数据库攻击的一个有效策略。攻击者将注入一个SQL语句到另外一个语句中,这个通常会损坏你的数据库。有数据库接口的Web站点通常在SQL注入的时候容易受到攻击,因为它们是基于动态的SQL;下面是一个简单的例子: 在一个ASP页面中会请求用户输入名字和密码,然后将下面的字符串发送到数据库中: SELECT FROM users WHERE username =’whatever’ AND... 阅读全文

posted @ 2007-06-25 12:29 黔人阿诺 阅读(141) 评论(0) 推荐(0)

SQL注入与ASP木马上传

摘要: SQL注入后,如何上传木马,一直是比较头疼的事,我这里提供上传木马的一种另一种方法。1、SQL注入的时候,用xp_cmdshell 向服务器上写入一个能写文件的asp文件。文件内容:这个文件可以写成一行将特殊字符进行编码 就可以得到%3C%25Set%20objFSO%20=%20Server.CreateObject(%22scripting.FileSystemObject%22):Set%2... 阅读全文

posted @ 2007-06-25 12:29 黔人阿诺 阅读(503) 评论(0) 推荐(0)

终极防范SQL注入漏洞

摘要: 终极防范SQL注入漏洞其实SQL注入漏洞并不可怕,知道原理 + 耐心仔细,就可以彻底防范!下面给出4个函数,足够你抵挡一切SQL注入漏洞!读懂代码,你就能融会贯通。注意要对所有的request对象进行过滤:包括 request.cookie, request.ServerVariables 等等容易被忽视的对象:function killn(byval s1) '过滤数值型参数if not isn... 阅读全文

posted @ 2007-06-25 12:28 黔人阿诺 阅读(255) 评论(0) 推荐(0)

sql注入防御

摘要: 网站的噩梦——SQL注入SQL注入通过网页对网站数据库进行修改。它能够直接在数据库中添加具有管理员权限的用户,从而最终获得系统管理员权限。黑客可以利用获得的管理员权限任意获得网站上的文件或者在网页上加挂木马和各种恶意程序,对网站和访问该网站的网友都带来巨大危害。防御SQL注入妙法第一步:下载SQL通用防注入系统的程序,在需要防范注入的页面头部用来防止别人进行手动注入测试。可是如果通过SQL注入分析... 阅读全文

posted @ 2007-06-25 12:28 黔人阿诺 阅读(226) 评论(0) 推荐(0)

SQL注入渗透某网络安全公司的网站全过程

摘要: 前言:写这篇文章不是为了告诉大家如何去做入侵,而是希望提醒大家:“入侵是偶然的,但安全并不是必然的”,不要疏忽运作上的一些小细节。笔者一直都有经常性地到一些安全方面的网站瞎逛的习惯的,最近因为一次机缘巧合之下通过链接来到广州某个颇有名气的网络安全公司的网站。说实在的,这个网站好象挺多元化的,提供软件下载之余,还有自己的论坛(嘿嘿,界面做得还真不赖嘛,不知道安全性如何呢?)。出于对其安全操守的好奇,... 阅读全文

posted @ 2007-06-25 12:27 黔人阿诺 阅读(531) 评论(0) 推荐(0)

蓝雨设计整站SQL注入漏洞

摘要: 最近无聊,在网上走来走去看看。发现现在的整站系统可是越来越多了,修改版本等等的N多阿!而蓝雨设计整站的使用者也越来越多了,蓝雨整站系统是从NOWA 0.94修改而来的!基于NOWA的系统不单指蓝雨一个还有很多的!我在此就不一一列举了,核心都是一样,只是程序的附加功能就各自不同!安全方面因为基于NOWA的系统所以到目前知道的漏洞就只有上传而已。以下文章中就会出现NOWA修改系统漏洞当中从未有的SQL... 阅读全文

posted @ 2007-06-25 12:27 黔人阿诺 阅读(218) 评论(0) 推荐(0)

两个防SQL注入过滤代码

摘要: 0 Thenresponse.write ""Response.EndEnd IfNextNext ElseFor Each RequestKey In Request.FormFor ForI=0 To Ubound(ErrorSql)If Instr(LCase(Request.Form(RequestKey)),ErrorSql(ForI))0 Thenresponse.write ""Re... 阅读全文

posted @ 2007-06-25 12:26 黔人阿诺 阅读(786) 评论(1) 推荐(0)