特别提示:补丁下载地址为:http://download.ecshop.com开头,该地址为ecmall下载站,如果非以http://download.ecshop.com开头,请勿下载,同时请反馈给管理员。1、修复修改任意用户密码 危险级 高2、修复sql注入漏洞 危险级 高3、修复团购页面xss...
分类:
其他好文 时间:
2015-02-25 23:34:47
阅读次数:
169
??
Hibernate是一种ORMapping框架,内部可以使用原生SQL还有HQL语言进行SQL操作。
所谓的HQL注入,就是指在Hibernate中没有对数据进行有效的验证导致恶意数据进入应用程序中造成的。
请看这段代码:
Input参数即可造成注入。
不过在Hibernate中,一般都是在createQuery中使用PDO,使用setString填充占位符进行sq...
分类:
Web程序 时间:
2015-02-23 21:16:19
阅读次数:
224
??
0、前言
逛乌云知识库的时候看到一篇有趣的译文:http://drops.wooyun.org/papers/4820。
说的是一种注入方式,叫对象注入。对象也能注入?
是的,只要是存在污染数据,没有什么是不可能注入的,但是这个漏洞有点太古怪了,所以我觉得有趣。
1、原理
在程序编写的时候,往往需要序列化一些运行时数据,所谓序列化就是按照一定的格式将运行时数据写入本地文件。...
分类:
Web程序 时间:
2015-02-03 22:59:36
阅读次数:
190
简单介绍下sqlmap吧,它是一个自动化的SQL注入工具,其主要功能是扫描,发现并利用给定的URL的SQL注入漏洞,目前支持的数据库是MS-SQL,,MYSQL,ORACLE和POSTGRESQL。SQLMAP采用四种独特的SQL注入技术,分别是盲推理SQL注入,UNION查询SQL注入,堆查询和基...
分类:
数据库 时间:
2015-02-03 14:48:35
阅读次数:
171
谨以此献给黑客x档案的新手们前言:现在的网络,最流行的攻击手段有两种,一种是缓冲区溢出攻击,一种是SQL注入,相对而言,最流行的还是脚本注入,而脚本注入漏洞更是风靡黑客界。不管是老鸟还是新起步的小菜,都会为它那巨大的威力和灵活多变的招式所着迷!正是因为注入攻击的流行,使的市面上的注入工具层出不穷!比...
分类:
Web程序 时间:
2015-02-03 09:18:10
阅读次数:
224
写在前面:这篇文章主要写了一些加快盲注速度的技巧和盲注中比较精巧的语句,虽然注入并不是什么新技术了。但是数据库注入漏洞依然困扰着每一个安全厂商,也鞭策着每一个安全从业者不断前进。正文:首先来简单介绍一下盲注,盲注是不能通过直接显示的途径来获取数据库数据的方法。在盲注中,攻击者根据其返回页面的不同来判...
分类:
数据库 时间:
2015-01-27 01:51:40
阅读次数:
339
0、前言
最近要为了自动化审计搜集所有PHP漏洞,在整理注入的时候,发现宽字节注入中使用iconv造成的漏洞原理没有真正搞懂,网上的文章也说得不是很清楚,于是看了荣哥(lxsec)以前发的一篇http://www.91ri.org/8611.html,加上我们两个人的讨论,最终有了这一篇深入的研究成果。
1、概述
主要是由于使用了宽字节编码造成的。
什么是字符集?
计算机...
分类:
其他好文 时间:
2015-01-19 17:19:58
阅读次数:
487
注入攻击的概念和原理注入漏洞是Web服务器中广泛存在的漏洞类型,其基本原理是Web程序对用户输入请求中包含的非法数据检查过滤不严,使Web程序将用户的异常输入字符当做正常代码执行,从而使用户在未授权的情况下非法获取Web服务器的信息。利用注入漏洞发起的攻击称为注入攻击,..
分类:
Web程序 时间:
2015-01-15 23:57:37
阅读次数:
436
原文:通用分页存储过程真的有注入漏洞吗? 今天看了两篇关于存储过程SQL注入漏洞的文章: 1):如此高效通用的分页存储过程是带有sql注入漏洞的 2):防SQL注入:生成参数化的通用分页查询语句 怎么看怎么觉的别扭,在我印象中存储过程是不会存在注入漏洞的啊?起码我目前的水平还不了解如何注入存储过程。...
分类:
其他好文 时间:
2015-01-05 12:34:56
阅读次数:
103
原文:防SQL注入:生成参数化的通用分页查询语句 前些时间看了玉开兄的“如此高效通用的分页存储过程是带有sql注入漏洞的”这篇文章,才突然想起某个项目也是使用了累似的通用分页存储过程。使用这种通用的存储过程进行分页查询,想要防SQL注入,只能对输入的参数进行过滤,例如将一个单引号“'”转换成两个单引...
分类:
数据库 时间:
2015-01-05 12:26:19
阅读次数:
253