最近登陆自己的搏客,发现自己的文章被引用不少,点击看看,基本上是同一个网站的,是个卖飞机票的网站,于是我就关闭了引用的系统,现在清净了不少,垃圾链接少了很多....
前几天,到黑鹰红客基地下载了一个阿D注入软件,对自己的网站进行注入测试,呵呵,还好,没有发现什么漏洞,但是,我的留言本有漏洞,不过那个程序不是我写的,当时也没有进行测试,不过阿D软件确实很不多,攻击行非常的好,还可以用漏洞上传木马.
今天我对自己的留言本程序进行了更新,以前,出现广告字眼的留言就强行禁止,但是由于过滤的字眼比较多,所以有朋友告诉我说留言留不了,针对这样的情况,我重新编写了程序,广告留言一样可以发出,但是要登陆以后才可以看到留言的内容,而且还会提示这是广告留言.这样的留言本就完美了.
同时,我对留言本的漏洞也进行了修补,现在用软件再测试一下就没有发现我们问题了.
Tag : SQL注入以下源码实现的功能是:只限制本单位内部网的用户进行访问(在此假设内部网的IP地址是从10.61.96.至10.65.97.之间),如果是单位外部用户进行访问则要求输入访问用户名及密码。在此要使用到request对象的ServerVariables属性,通过它来获得环境变量的值。
程序源码(firewall.asp)如下:
<html>
阅读全文……SQL注入天书—ASP注入漏洞
BY-- 小竹
引 言
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。
SQL注入是从正常的WWW端口访问,而且表面看起来跟一般的Web页面访问没什么区别,所以目前市面的_blank">防火墙都不会对SQL注入发出警报,如果管理员没查看IIS日志的习惯,可能被入侵很长时间都不会发觉。
阅读全文……Tag : asp | SQL注入跨站式SQL注入
BY 老凯(laokai)
在屏蔽了错误信息的机器上,获得网站绝对路径。
前一阶段,在尝试攻击一个网站的时候,发现对方的系统已经屏蔽了错误信息,用的也是普通的帐号连接的数据库,系统也是打了全部的补丁这样要攻击注入是比较麻烦的。。因此我自己搞了一种“跨站式SQL注入”。。
阅读全文……Tag : SQL注入 | ASP怪异的SQL注入
文 by AMANL[BST]
SQL注入以独特、新奇、变异的语句迎来了技术又一大突破,当然要针对奇、特这两方面作文章,要达到一出奇招,必达核心!那才是SQL注入技术的根本所在。长期以来,MS SQL以它强大的存储进程给我们带来了极大的方便,而如今注入技术主要依靠IIS出错与MS SQL系统提示信息来判断,那利用SELECT构造特殊语句,使系统出错来得到我们要的更深入的信息,如爆库、爆表等,能不能取得详细信息呢?答案是能,但必出奇招!下面我们一步步来拆解奇招!
首先打开MS SQL查询分析器,输入:
阅读全文……Tag : SQL注入如何利用Sql 注入遍历目录
关于如何取得注入入口不再说了,前面的帖子都说得很详细了,我们就如何浏览全部目录和文件进行研究
当System_user为"sa"时,具有全部权限,包括执行master.dbo.xp_cmdshell,如果这个存储过程没有改名或删除,我们可以利用它来遍历全部目录,执行如下:
先创建一个临时表:temp
阅读全文……Tag : SQL注入SQL Injection技巧的演练原著: sk@scan-associates.net
翻译人: demonalex
摘要:
阅读全文……Tag : SQL注入
用户登陆
站点日历
站点统计
最新评论
日志搜索
友情链接
其他信息
