php高级代码审核:高级PHP应用程序漏洞审核技术
Ph4nt0m Security Team Issue 0x03, Phile #0x06 of 0x07|=---------------------------------------------------------------------------=||=---------------------=[ 高级PHP应用漏洞审核技术 ]=----... [阅读全文]
jqueryjson:防范json xss的思路方法
好像最近大家对 json xss 不是太热Google有过次:http://ha.ckers.org/blog/20060704/cross-site-scripting-vulnerability-in-google/ 好像大牛们早就知道这种了 那么防范这样XSS也是很容易比如有XSS漏洞页面是这样: ?PHP $woyigui = $_GET["xss"]; echo $woyigu... [阅读全文]
xss攻击:XSS攻击和防范指南
作者:Xylitol 翻译:keepseo.com 原文:http://xylitol.free.fr转载请注明作者博客原地址http://keepseo.com/2009/04/xss-attack-defense-guide.htm在原来又人翻译这篇文章但是翻译得不是很准确前几天看见有人在黑防上发表这文章篇翻译我也拿出来给大家共享 文章目录 XSS攻击和防范指南... 1第章... [阅读全文]
网站被降权:网站WebSite被降权解决办法
网站WebSite被降权解决办法 对于网站WebSite被降权首先我补充点百度很BT对于新站来说开始收录你首页接着K掉你首页等到他心情再好时候再收了你首页你说BT不BT站被降权该如何处理?最近这段时间因几个客户网站WebSite连续出现问题被BAIDU进行降权甚至被封杀对于这些出现问题我非常不理解这些客户并没有进行恶意作弊优化也是很正常是什么原因造成这些问题?我对BAIDU这现象进行了分析这个问... [阅读全文]
跨站脚本攻击:抵御跨站脚本攻击关注上下文转义功能
自动转义主要是为般用途模板系统开发也就是那些不完全清楚其运行内容结构和编程语言模板系统这些模板系统通常能够为web应用提供最低限度支持可能仅限于些基本转义功能开发者可以利用这些基本转义功能帮助转义返回到web应用不安全内容那些具有定规模和复杂度web应用使用这些模板系统可能会增加XSS攻击风险为什么会这样呢?请参考下面简化模板这个模板中双大括号{{和}}中间占位符(变量)被运行内容取代而这是不安全... [阅读全文]
ajax没有权限:本地执行ajax的权限问题
Xeye Team 最近段时间我们团队(Team)正在对几种内核浏览器进行本地Ajax提交权限安全测试包括主流trident、gecko、webkit 测试数据很多很乱具体技术细节暂不公开但就测试结果及出现些问题简要介绍说明下: 1、ie78以及相应版本trident内核浏览器对ajax本地执行时权限控制得很死看来MS对IE这类安全风险比较重视 2、ff 3.0.8及以下版本允许本地执行a... [阅读全文]
sql注入攻击:快速恢复被黑网站WebSite详解网站WebSiteSQL注入攻击解决
2009年3月17日上午冠群金辰公司工程师小李刚到公司就接到了用户电话:“如何回事?我们网站WebSite从今天早上开始就不能正常访问是不是被黑了?”网站WebSite出了问题用户显得格外着急 小李打开用户网站WebSite主页发现果然无法访问页面片空白只是显示出如图1行英文果然是受到了黑客攻击: 找到问题 小李当即决定赶到用户现场解决问题确定网站WebSite受到了何种攻击赶到现场的后... [阅读全文]
apacheiis:攻击记录分析篇的IIS&Apache
作者:牛渊 来源:黑客防线 每个网管最黑暗时候莫过于服务器被攻击后束手无策其实服务器遭受攻击后服务器记录文件详细地记录了黑客活动蛛丝马迹在这里我为大家介绍下两种常见网页服务器中最重要记录文件分析服务器遭到攻击后黑客在记录文件中会留下什么记录目前最常见网页服务器有两种:Apache和微软Internet Information Server(简称IIS)这两种服务器都有般版本和SSL认证版本... [阅读全文]
黑帽seo:隐藏链接 SEO黑帽新手法
目前盛行种黑客SEO手段就是通过入侵网站WebSite取得权限后在网站WebSite首页加入隐藏链接代码隐藏链接其实不是什么很高深SEOSPAM窍门技巧对于绝大部分隐藏链接手法Google等搜索引擎都能够很好识别出来 有关隐藏链接 的所以会将链接隐藏起来绝大部分情况下主要都是链接有不可告人目才会选择将链接隐藏起来从链接价值来区分隐藏性链接毫无价值可言反而可能会给双方都造成定损失 搜索引擎对于... [阅读全文]
利用麦咖啡打造超安全的Web站点目录
作者:普瑞斯特QQ:9779420Web:http://www.hacksb.cn/话说某日暴某站菊花,发现Web目录权限极小,除了基本上传功能健全,几乎没有任何权限,修改,删除,替换等都不奏效.心想此站权限设置果然牛B,不料百密必有疏,最终还是被在下拿到服务器权限..殊不知此站大有文章,虽手握服务器权限,但仍对Web目录无可奈何.在下向积极好学,碰到如此变态的服务器,必然是要扒皮抽筋找其原因..... [阅读全文]
如何抵御Web威胁帮您整理总结十大思路方法
1.阻止对恶意软件Software服务器访问 当台式机用户从未知恶意软件Software服务器请求HTTP和HTTPS网页时立即阻止此请求节约带宽并扫描资源 2.把移动代码限制到值得信任网站WebSite 脚本和活跃代码等移动代码可以让网络更加丰富有趣但也黑客渗透桌面计算机和运行可执行代码或应用来执行文件中嵌入脚本 3.在Web网关处扫描 不要认为您所有桌面都是最新运行反病毒(AVP)或... [阅读全文]
分离数据库:有关利用注射点判断数据库web是否分离
来自:皇子 xp/2003系统下注册表里有个键值可以得到真实ip地址 HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001\Services\{FBD72F8D-6334-4739-957A-7D324D9C27EF}\Parameters\Tcpip 在注册表窗口右边就可发现“IPAddress”、“DefaultGateway”、“SubnetMask”等键值它... [阅读全文]
web攻击:WEB版IDS抵御WEB攻击
IDS是英文“Intrusion Detection s”缩写中文意思是“入侵检测系统”传统IDS是个监听设备这个设备通过网络链路挂接在服务器和客户端所有流量都必须流经链路上IDS就是通过特有IDS规则匹配黑客恶意攻击入侵行为流量进行即时监测和报警 在历年来开源Web中被披露最多最严重安全漏洞直是SQL注射为了减少SQL注射漏洞对各大网站WebSite造成安全威胁web安全研究组织80SEC在2... [阅读全文]
asp.net源代码:实用方便的Asp.Net的防黑代码
记得以前听人说在ASP.NET里面管理员登陆检查全用存储过程就好了就不会造成万能密码或是"--"这样也能登陆进后台当时听听也就算了没如何放在心上到现在自己搞它时候发现是如此简单看我写段代码:protected void btnLogin_Click(object sender, EventArgs e) { #region (tbUserName.Te... [阅读全文]
黑客攻击:网站WebSite应对黑客攻击的最佳做法
最近很多网站WebSite都在建设各种网络应用软件Software以期为用户提供更好服务这其中尤以各种创建、编辑和管理内容应用软件Software为多这些系统提供了很多基于用户输入信息强大互动特性值得注意是考虑安全问题避免第 3方恶意攻击并确保最佳用户体验也变得更为重要 黑客攻击类型及拦截方式: 黑客可以采取多种区别攻击方式部分或全部控制个网站WebSite般来说最常见和最危险是SQL植入(i... [阅读全文]
鼓膜穿孔: 穿孔贼 暴增232% 谨防地震视频传播木马
根据江民反病毒中心监测统计2008年5月12日到2008年5月18日江民反病毒中心共截获病毒29928种全国共有676414台计算机感染了病毒较上周下降了8.03% 监测结果显示本周“穿孔贼”变种(DLL)病毒暴增232%上周最新发现“穿孔贼”变种(DLL)病毒以4513台感染量位列病毒排行榜第十 6位仅短短周时间病毒感染量就暴增到14988台并荣登病毒排行榜亚军该病毒会盗取梦幻西游等多款网络游... [阅读全文]
数据库应用经验:如何简单安装MySQL数据库
这篇文章主要介绍了种简单MySQL数据库安装思路方法详细内容请大家参考下文: 虽然安装MySQL数据库文章很多,但是我看后感觉对于初学者来说都有定难度所以我写个简单思路方法供大家参考如果有什么不对地方请指教 var isMinNS4 = (navigator.appName.indexOf("Netscape") = 0 && parseFloat(navigator.appVersion)... [阅读全文]
iisweb服务器:网络安全的小窍门技巧教你保护(IIS)Web服务器
通常地大多数Web站点设计目标都是:以最易接受方式为访问者提供即时信息访问在过去几年中越来越多黑客、病毒和蠕虫带来安全问题严重影响了网站WebSite可访问性尽管Apache服务器也常常是攻击者目标然而微软Internet信息服务(IIS) Web服务器才是真正意义上众矢的地 高级教育机构往往无法在构建充满活力、界面友好网站WebSite还是构建高安全性网站WebSite的间找到平衡点另外它们现... [阅读全文]
数据库安全:Oracle密码文件使用和维护窍门技巧
Oracle关系数据库系统以其卓越性能获得了广泛应用而保证数据库安全性是数据库管理工作重要内容本文在整理总结Oracle数据库安全管理工作基础上对Oracle数据库系统密码文件创建、使用和维护作了详细介绍供大家参考 关键词:Oracle数据库密码文件 在Oracle数据库系统中用户如果要以特权用户身份(INTERNAL/SYSDBA/SYSOPER)登录Oracle数据库可以有两种身份验证思路方... [阅读全文]
安全专家指出:网络安全进入后威胁管理时代
如果企业自满于网络安全现状而不持续投资可能在攻击行为和模式转变中成为和信息安全战争中陷落群安全专家说 企业面临信息安全威胁来源已经从过去外部攻击为主转向来自内部自己人入侵和非法访问CA台湾区技术顾问林宏嘉解释“那些仍停留在过去外部攻击防范模式企业就会像M型社会中被迫向下流动中产阶级” 所谓M型社会是日本经济学家大前研研究自1990年代以来日本社会经济归纳结果根据他说法随着社会发展失衡富者愈富而许多... [阅读全文]
数据库安全:两个比较好ACCESS思路方法使用窍门技巧
在ACCESS中APPLICATION对象有两个我自己认为比较BB思路方法其中个是SaveAsText, 另个是那就是→LoadFromText.我记得是刚学ACCESS不久当时在研究FMS个分析工具时跟踪发现它总会产生些临时文件对这些临时文件分析发现它和VB里窗体文件差不多格式所以估计微软可以将ACCESS窗体转换为文本格式并提供种逆相转换思路方法所以发现了深厚兴趣后来就找到这两个思路方法 虽... [阅读全文]
svn服务器配置:简单配置SVN和APACHE服务器
简单配置SVN使用APACHE版本apache_2.0.59-win32-x86-no_ssl.msiSVN版本 svn-1.4.5-up.exe客户端版本 TortoiseSVN-1.4.5.10425-win32-svn-1.4.5.msi安装好APACHE和SVN后将SVN/BIN目录下mod_dav_svn.so 和 mod_authz_svn.so 复制到APACHE/modules ... [阅读全文]
qq日志:巧用外部表访问警告日志文件或跟踪文件
从Oracle数据库9i开始Oracle外部表技术(Oracle External Tables)得到了极大完善通过外部表访问外部数据增强了Oracle和外部数据源进行数据交互能力对于数据仓库和ETL来说这些增强都极大方便了数据访问 对于数据库管理员(DBA)而言在此前提下可以很方便使用外部表来访问警告日志文件或其它跟踪文件. 下文中举例将详细介绍说明外部表具体用途: 首先我们需要创建个Direc... [阅读全文]
fedorasamba:Fedora Linux系统Samba服务器架设全攻略
系统环境:Windows xp sp3 IP:192.168.1.10 虚拟机下安装了Fedora-8-i386 IP:192.168.1.12 1. 首先检查os是否安装好了samba [root@cisco samba]# rpm -qa | grep smb 如果出现下面 3行内容则表示已经安装好了Samba libsmbios-libs-0.13.10-1.fc8 libsmbios-... [阅读全文]
路由器控制带宽:通过路由器设置来控制带宽资源
BT是近年来比较热门基于P2P技术分布式数据共享和传播软件Software区别人对这类应用有区别看法支持人说它完满地体现了我为人人人人为我思想任何个人都可以在网络上向别人提供自己文档或软件Software下载当下载人越多时它下载速度也越来越快;反对人说它侵犯了软件Software作者版权以及耗费了大量网络带宽应该给予禁止不管人们对这个软件Software看法如何作为个主要从事教育大学来讲首先要保... [阅读全文]
mysql备份数据库:使用批处理实现mysql数据库备份和上传
有台windows服务器上跑着mysql些应用,现在需要将mysql数据每天备份,并通过ftp上传到指定存储服务器上 要是在linux上,shell 脚本很容易就搞定了,在windows上习惯了点鼠标,哪里来脚本,时还真不知道该如何弄.baidu,google得知可以通过批处理或者vbs脚本实现. 批处理是比较简单,毕竟dos常用命令还是知道 解决思路:使用批处理文件,实现备份和上传功能将批处理文... [阅读全文]
七大奇迹:不要被假象迷惑 网络安全的 7大误区
许多人对于自己数据和网络目前有种虚假安全感;在边界安装了防火墙、在桌面上安装了防病毒和防间谍软件Software工具、使用加密技术发送和保存数据;此外,微软及各大安全公司不断增强安全工具和补丁……似乎可以松口气了,但果真如此吗? 以下是有关安全 7大误解,不妨看看你数据是否有你想象中那么安全. ? 误解、加密确保了数据得到保护 对数据进行加密是保护数据个重要环节,但不是绝无差错... [阅读全文]
打响网络安全阻击战 欺骗黑客的有效思路方法
大家知道通过Ping和Tracert就能判断目标主机类型Ping最主要用处就是检测目标主机是否能连通Tracert利用ICMP数据包和IP数据包头部中TTL值防止数据包不断在IP 互联网上永不终止地循环 许多入侵者首先会Ping下你机子如看到TTL值为128就认为你系统为Windows NT/2000;如果TTL值为32则认为目标主机操作系统为Windows 95/98;如果TTL值为25... [阅读全文]
防御邮件欺诈有妙招 让你安全风险降为零
在垃圾邮件和伴随而来邮件欺诈问题愈演愈烈今天其安全风险主要威胁在于用户处理邮件安全问题经验不足事实上针对此类威胁需要展开有针对性防御手段加以防护 在此环境下企业用户和个人需要了解这些几乎不可见但具有杀伤力威胁并做好防护从实际经验看用户如果希望能够避免和垃圾邮件和其他网络威胁相关风险至少要做到下十点 第、采用身份盗窃保护 多数身份盗窃保护提供个人信用报告用户可以从中查看自己信用历史并验证其是否最新、... [阅读全文]
网络访问控制:绕过网络访问控制
网络访问控制NAC(Network Access Control)算是种新代安全访问技术相比传统被动防御来说增加了主动性从以前默认允许走向更加严格默认拒绝简单说有两个主要组件是能够监测到网络上有新网元访问 2是能够判断新访问网元是否符合网络安全策略针对这个概念很多厂商都提出了自己解决方案但可惜是目前没有个相应规范标准不过最近新闻说针对设备思科NAC方案和偏重主机微软NAP方案已经结成同盟形成互补今... [阅读全文]
