milantgh - 博客园

2014年5月29日

摘要：定义和用法mysql_real_escape_string() 函数转义 SQL 语句中使用的字符串中的特殊字符。下列字符受影响：\x00\n\r\'"\x1a如果成功，则该函数返回被转义的字符串。如果失败，则返回 false。语法mysql_real_escape_string(string,co... 阅读全文

posted @ 2014-05-29 14:35 milantgh 阅读(611) 评论(0) 推荐(0)

2014年5月28日

LFI & RFI & PHP封装协议之安全问题研究

摘要：目录1. 文件包含的基本概念2. LFI(Local File Include)3. RFI(Remote File Include)4. PHP中的封装协议(伪协议)、PHP的流式文件操作模式所带来的问题1. 文件包含的基本概念严格来说，文件包含漏洞是"代码注入"的一种。"代码注入"这种攻击，其原... 阅读全文

posted @ 2014-05-28 22:16 milantgh 阅读(616) 评论(0) 推荐(0)

数据公钥加密和认证中的私钥公钥

摘要：加密和认证首先我们需要区分加密和认证这两个基本概念。加密是将数据资料加密，使得非法用户即使取得加密过的资料，也无法获取正确的资料内容，所以数据加密可以保护数据，防止监听攻击。其重点在于数据的安全性。身份认证是用来判断某个身份的真实性，确认身份后，系统才可以依不同的身份给予不同的权限。... 阅读全文

posted @ 2014-05-28 18:07 milantgh 阅读(472) 评论(0) 推荐(0)

RSA算法

摘要： RSA 即 RSA算法。RSA公钥加密算法是1977年由罗纳德·李维斯特（Ron Rivest）、阿迪·萨莫尔（Adi Shamir）和伦纳德·阿德曼（Leonard Adleman）一起提出的。当时他们三人都在麻省理工学院工作。RSA就是他们三人姓氏开头字母拼在一起组成的。RSA是目前最有影响... 阅读全文

posted @ 2014-05-28 17:51 milantgh 阅读(1641) 评论(0) 推荐(0)

APT攻防对抗

摘要： APT（高级持续性威胁）攻击是指近年来,专业甚至是有组织和国家背景支持的黑客,针对重要目标和系统发起的一种攻击手段，主要特征有1）持续性：攻击者为了重要的目标长时间持续攻击直到攻破为止。攻击成功用上一年到三年，攻击成功后持续潜伏五年到十年的案例都有。这种持续性攻击下，让攻击完全处于动态发展之中，而... 阅读全文

posted @ 2014-05-28 17:38 milantgh 阅读(1833) 评论(0) 推荐(0)

安全参考

摘要：本期杂志在线预览及下载地址[HACKCTO-201405-17]PDF发行版本：http://pan.baidu.com/s/11XgsQ[HACKCTO-201405-17]DOC收藏版本：http://pan.baidu.com/s/14EYKI往期杂志推荐HACKCTO-201301-1：ht... 阅读全文

posted @ 2014-05-28 17:01 milantgh 阅读(319) 评论(0) 推荐(0)

目录/文件攻击防范策略研究

摘要：目录0x1：目录穿越攻击0x2：远程文件引入攻击0x3：防范的方法目录穿越攻击目录穿越(Directory Traversal)攻击是黑客能够在Web应用程序所在的根目录以外的文件夹上，任意地存取被限制的文件夹、执行命令或查找数据。目录穿越攻击，也有人称为Path Traversal攻击。为了避免使... 阅读全文

posted @ 2014-05-28 11:34 milantgh 阅读(3136) 评论(0) 推荐(0)

2014年5月27日

浅谈HTTP响应拆分攻击

摘要：在本文中，我们将探讨何谓HTTP响应拆分以及攻击行为是怎样进行的。一旦彻底理解了其发生原理（该原理往往被人所误解），我们就可以探究如何利用响应拆分执行跨站点脚本（简称XSS）。接下来自然就是讨论如果目标网站存在响应拆分漏洞，我们要如何利用这一机会组织CSRF（即跨站点伪造请求）攻击。最后，我们一起来... 阅读全文

posted @ 2014-05-27 15:51 milantgh 阅读(6847) 评论(0) 推荐(0)

HTTP Response Spliting 防范策略研究

摘要：目录0x1：HTTP请求的格式0x2：HTTP请求的方法0x3：HTTP响应的格式0x4：HTTP响应拆分攻击0x5：防范的方法HTTP请求的格式客户端所提出的HTTP请求包含下列信息：(1)请求信息(2)表头(3)一行空白行(4)信息正文(可有可无)例如：发送HTTP请求给服务器www.baidu... 阅读全文

posted @ 2014-05-27 14:12 milantgh 阅读(546) 评论(0) 推荐(0)

2014年5月25日

百度地图API使用介绍

摘要：百度地图API开始学习百度地图API最简单的方式是看一个简单的示例。以下代码创建了一个520x340大小的地图区域并以天安门作为地图的中心:1.2.3.4.Hello,World5.6.7.8.9.10.11.12.Hello,World1.6.引用百度地图API文件当您引用地图API文件时，需要使... 阅读全文

posted @ 2014-05-25 15:48 milantgh 阅读(1084) 评论(0) 推荐(0)