SQL注入就是用户通过客户端请求GET或POST方式将SQL语句提交到服务端,欺骗服务器去执行恶意的SQL语句。例如下面这条SQL语句:1 "select * from T_stuff where name = '"+txtbox1.text+"'";其中txtbox1是一个textbox控件,正常...
分类:
数据库 时间:
2015-10-19 20:36:27
阅读次数:
244
DCOM漏洞:利用这个漏洞攻击者只需发送特殊形式的清求到远程计算机上的135端口,轻则会造成拒绝服务攻击,严重的甚至可以让远程攻击者以本地管理员权限执行任何操作。攻击过程:扫描也可用xscan+DCOMRPC接口组件http://wenku.baidu.com/link?url=YDcM69B46b...
分类:
其他好文 时间:
2015-10-02 21:20:05
阅读次数:
156
1.创建必要的索引 (在经常检索的字段进行创建索引,比如以图书名称来进行检索,就需要在这个图书名称的字段创建索引)2.使用预编译查询(程序中通常是根据用户的输入来动态执行 SQL 语句,这时应该尽量使用参数化SQL,这样不仅可以避免SQL注入漏洞攻击,最重要数据库会对这些参数化 SQL执行预编译,这...
分类:
数据库 时间:
2015-09-17 18:59:00
阅读次数:
207
(一)数据绑定、ListBox、DataGrid SQLServer基础、SQLServer使用主键策略(二)DataReader、DataSet、参数化查询、防注入漏洞攻击、SQLHelper用户界面中进行登录判断。输错三次禁止登陆(半小时),用数据库记录ErrorTimes。 数据导入:从文本文...
分类:
数据库 时间:
2015-08-08 21:15:22
阅读次数:
517
1. 简介网络安全机构Zimperium最近发现一个Android有史以来最为严重的漏洞,该漏洞预计会影响95%的Android设备,攻击者可利用该漏洞远程操控手机的麦克风、窃取文件、查看邮件并获取个人证书等。Android 2.2到5.1的所有版本上均存在此漏洞。2. 漏洞说明该漏洞是由于Android StageFright缓冲以溢出造成。
示例如下:(Nexus 5, Android 5.1...
分类:
移动开发 时间:
2015-07-30 14:57:41
阅读次数:
752
最近给学校做了一个最美系部投票网站,不少人想通过sql注入漏洞攻击网站,我也是被逼无赖好好的和这些人战斗了2天。一开始他们应该使用了一些工具不断的去检测我的sql注入点,这是我第二次正式做这种大型的投票系统,本来我已近很注意了没有留下注入点。只是在查询语句中是使用的 sql字符串拼凑,我想查询语句应...
分类:
Web程序 时间:
2015-07-02 23:55:14
阅读次数:
182
exploit-db网站在7月14日爆出了一个Struts2的远程执行任意代码的漏洞。漏洞名称:Struts2/XWork 这样的标签在struts2.0中是可以使用的,但是新版中就不解析了,原因就是“#”的问题导致的,补了漏洞,正常的使用也用不了了。所以sebug网站上的建议升级到2.2版本是不可...
分类:
其他好文 时间:
2015-05-30 16:25:17
阅读次数:
182
怎样利用Struts2的漏洞(2.0.0<=version<=2.3.15)搞垮一个基于Struts2写的网站?Struts是java web frameworks里面的鼻祖了,现在大量的web apps里面,从政府网站到金融系统,都有她的影子(大量的系统都是采用一种被用烂了的SSH(Struts+...
分类:
其他好文 时间:
2015-05-30 16:24:54
阅读次数:
140
2015/5/1516:04:49前面我们简单介绍了Hacker的编程基础,然后讲解了Linux下缓冲区漏洞的基本原理,从中我们了解到一个典型的缓冲区漏洞攻击总是由下面三个部分组成:具体的实现可能会有变化,但是“万变不离其宗”,基本原理还是不变的。我们注意到攻击功能的实现由shellcode来..
分类:
系统相关 时间:
2015-05-15 18:03:36
阅读次数:
175