浏览模式: 标准 | 列表 Tag: 安全

cnzz.com,好玩

by amxku on 2009-02-05, 20:13. 杂七杂八

cnzz.com,意识问题。

cnzz.gif 大小: 18.1 K 尺寸: 380 x 208 浏览: 360 次 点击打开新窗口浏览全图

关键词: cnzz, 安全

Comments (12) , Views (2009)

审计php代码中的''引用

by amxku on 2009-01-14, 10:44. 技术相关

审计sebug.net代码时,发现的一处问题,以前好像没怎么注意,这里记录下

  1. $query = $db->query("select * from DB where id IN (".$id.")");      
  2. $query = $db->query("select * from DB where id IN ('".$id."')");  

这两个最大的不同就是多了个''引用。

如果我们提交php?id=1 and 1=2,最后变成:

  1. select * from DB where id=1 and 1=2   //and 1=2 变成表达式了  
  2. select * from DB where id='1 and 1=2' //and 1=2 还是字符串  

记录下。但这绝不仅仅是sql注入!

关键词: php, 安全, 审计

Comments (4) , Views (1511)

依然Check MD5(md5sum for pl)

by amxku on 2008-12-02, 15:42. 技术相关

md5sum-for-pl
校验文件的准确性.
两个使用了不同的函数,在执行效率上checkmd5sum.pl 比checkmd5sum_find.pl要快。
1.checkmd5sum.pl
2.checkmd5sum_find.pl

» 阅读全文

关键词: perl, 安全, 审计, 原创

Comments (5) , Views (1911)

Check MD5(md5sum for php)

by amxku on 2008-11-09, 23:38. 技术相关

CheckMD5.php代码
  1. <?php  
  2. /******************************************************************   
  3. Check MD5(md5sum for php)   
  4. 2008-11-09   
  5. amxku.net   
  6.   
  7. 校验文件的准确性.   
  8. 在网站被入侵后,检查文件的准确性。   
  9.   
  10. *UIX下可以用md5sum * >md5sum 来得到所有文件的md5值,然后把两次得到的   
  11. MD5值来进行对比。   
  12.   
  13. 代码检查方面那么有一丁点用处,别的没什么用。   
  14. ******************************************************************/   
  15. echo '<meta http-equiv="Content-Type" content="text/html; charset=UTF-8"/>';
  16. echo '<title>Check MD5(md5sum for php)</title>';   
  17. check_md5(".");   
  18.   
  19. function check_md5($directory){   
  20.     $check_md5_dir = @opendir($directory);   
  21.     echo '<ul>';   
  22.     while ($file = @readdir($check_md5_dir)) {   
  23.     if ($file != "." && $file != "..") {   
  24.     if(is_dir("$directory/$file")){   
  25.         echo '<li><strong>'.$file.'</strong></li>';   
  26.         tree("$directory/$file");   
  27.     }else{   
  28.         echo '<li>'.$file.' ==> '.md5_file("$directory/$file").'</li>';   
  29.     }   
  30.     }   
  31.     }   
  32.     echo '</ul>';   
  33.     closedir($check_md5_dir);   
  34. }   
  35. ?>   

关键词: php, 安全, 审计, 代码, 原创

Comments (5) , Views (1870)

aix安全

by amxku on 2008-11-03, 00:17. 技术相关

http://www.12258.net/thread-713-1-1.html

paper写得不错。学习中,就是太长了,两百多页啊。

关键词: aix, security, 安全

Comments (3) , Views (1531)

基于Public特权来保护Informix的安全

by amxku on 2008-10-29, 16:24. 技术相关

by amxku
2008-10-29
http://www.amxku.net

informix中,有三个数据库特权级别:DBA、Resource 和 Connect
Connect 特权允许用户访问数据库以及添加、修改和删除数据。
Resource 特权授予用户所有 Connect 特权,还授予创建新的表、索引和过程的特权。
DBA 特权包括 Connect 和 Resurce 特权,还授予用户把 Resource、Connect 或DBA 特权授予其他用户的权力。具有DBA 特权的用户还可以删除数据库中的所有对象或完全删除数据库。

informix在数据库、表和列级都应用了安全措施。但是所有安全措施都基于用来连接数库的用户名。informix 使用关键字 public 表示应用于所有用户的特权。public关键字是一个非常强大的工具,可以开放对数据的访问。

» 阅读全文

关键词: informix, 安全, 原创

Comments (3) , Views (1698)

安全还真是无处不在啊

by amxku on 2008-10-26, 00:56. 杂七杂八

看来安全还真是无处不在啊,这样的邮件也能收到。注意看收件人。

2008-10-26_005423.jpg 大小: 21.52 K 尺寸: 380 x 109 浏览: 96 次 点击打开新窗口浏览全图

http://www.sebug.net/exploit/4362/

关键词: 安全, 乱七八糟

Comments (0) , Views (1978)

PHP in the Register Globals

by amxku on 2008-09-28, 02:49. 技术相关

by amxku
2008-09-28
http://www.wolfexp.net

在php中用户的输入数据为 GET、POST 和 COOKIE 三种,一般被称为 GPC 数据。php4.3.0之后的版本中register_globals 的默认值为off,但现在还是有部分在php.ini中将register_globals 的设为on,所以这里就存在了一些隐藏的风险。

register_globals 本身并没有安全风险。但如果将register_globals设为on,在全局名称空间和 $_GET、$_POST 或 $_COOKIE 数组中,将创建 GET、POST 和 COOKIE 传递到 PHP 脚本的所有变量。各种变量都被注入代码。再加上 php 在使用变量之前是无需进行初始化的,如果开发人员没有好的编程习惯,这就使得更容易产生一些安全风险。

» 阅读全文

关键词: php, 安全, 脚本, 原创

Comments (8) , Views (2301)

ali也挂了,唉

by amxku on 2008-09-20, 22:45. 杂七杂八

唉,上图!全自动的就是牛啊。
aliued.jpg 大小: 107.29 K 尺寸: 380 x 240 浏览: 1111 次 点击打开新窗口浏览全图

关键词: 阿里巴巴, 被黑站点, 挂马, 安全

Comments (5) , Views (2936)

Ajax安全剖析专题

by amxku on 2008-09-19, 23:10. 杂七杂八

Ajax是Asynchronous JavaScript and XML的缩写。AJAX(Asynchronous JavaScript + XML)是web浏览器技术的集合体,它允许web页面内容飞速地更新而无需刷新页面。在使用AJAX的web页面背后,数据(通常格式化为XML,但也可以是HTML、JavaScript等格式)在web服务器与客户端浏览器之间来回传输。比如在Gmail应用场景中,新的邮件信息被自动接收和显示。在Google Maps应用场景中,用户可以通过鼠标拖拽的方式在地图中的街区之间穿梭漫游。这种执行异步数据传输的机制是一个嵌入在所有现代web浏览器内部的、被称为XMLHTTPRequest(XHR)的软件库。XHR是web站点获得“AJAX”商标的关键。另一方面,它也是一些实现了“奇思妙想”的JavaScript。

http://www4.it168.com/jtzt/shenlan/safe/ajax/

关键词: ajax, 安全, 学习

Comments (0) , Views (1720)

Records:401234Next›