某年某月某日某时某分某秒,某人在阅读某PHP程序代码时,发现某处将输入“直接”带入查询语句,当他兴冲冲地抄起时,却没有注入点(maic_qutes_gc为off)。当他仔细查看代码时,也没发现过滤语句,这是怎么回事呢?实际上,这个程序用了预备查询技术。预备查询技术为何方神圣,且听危险漫步给各位慢慢道...
大家好,在上两个月中我们学习了如何在界面管理工具中对数据库进行基本的增删改查操作,那么在本章中,我们本来应该学习在php中如何操作MSSQL,但是很不幸的是,在php5.3.2以后,就已经不支持传统的php拓展的方式来进行数据库操作,如果是以前的版本,可以通过添加对phpmssql的引用来添加对ms...
前几天博客搬家了,搬到付费的主机上去了,虽然之前看了很多博客搬家的教程,可是没有一点是用得上,浪费了近5小时,让我内流满面。大家都知道MYSQL的前缀不一样吧,很多人就卡死在这,写这篇文章希望能缩短大家搬家的时间。下面说说危险漫步探索的方法,原理都一样,也这招也可以用于论坛的搬家。1.在原博客备份好...
所谓的Shell扩展就是能够添加某种功能到WindowsShell的COM对象。Windows里有着各种各样的扩展,但关于Shell扩展的原理以及如何编写Shell扩展的文档却很少。如果你想深入地了解Shell各方面的细节,危险漫步特别推荐DinoEsposito的著作《VisualC++W...
我正在跟危险漫步学习PHP脚本语言,就想能不能用PHP也来实现计算字符串和文件的MD5和SHAl散列的功能。在PHP帮助手册的帮助下我用一晚上的时间做到了。PHP编写的程序有两种,一种是在命令行下运行,一种是在Web空间中用Apache、IIS等Webark务器软件运行,为了更方便传递要计算散列的字...
平时我们安全测试通过SQL注入漏洞等获得的管理员的用户信息中密码往往是经过Md5加密的(用户名也有加密的,不过不多),这时候能否破解出密码的MD5值就显得非常重要了,能破解出来就可以进后台想办法拿webshell’破解不出来的话看着密码的MD5值干着急。现在破解MD5比较可行的两种方法是利用彩虹表文...
一、前言浏览器是用户与WEB服务器交换信息的桥梁,如今市面上有许多的厂商推出了他们自己的浏览器,我们大概将浏览器分为三种:基于IE内核的、非IE内核和双核浏览器。基于IE内核的浏览器是使用了IE原本的内核功能,但独立开发出提供其他第三方面功能的浏览器,这类浏览器有:360浏览器、腾讯TT等等,数量之...
之前在危险漫步的博客上闲逛的时候,看到国内某知名公司与一所大学联合举办了一次信息安全竞赛,好像很好玩呀,所以就去看了下。其他关卡按下不表,交流群里有很多人在问脚本关最后一题,这几天刚好竞赛结束,因此我来跟大家分享一下最后一关的解题过程。题目很简单,只有几句话。首先遇到的第一个问题就是介个图片显示不出...
小漏洞里学大知识——简单脚本漏洞查找和常用技术回顾今天一个好朋友发来电邮,随便和他寒暄了几句后,听说他想给他们的工作单位找个简单实用的web程序,功能不用太多,看上去大方明了就行了,初步确定选用精才公司的程序,想叫我看看这个程序实不实用。一、解析代码是朋友的事,当然也就是我的事啦,义不容辞,来到官方...
某天晚上危险漫步在网上转悠,发现网趣网上购物系统又一一又一一又出注入漏洞了。作为一款网上购物系统能接二连三的出现漏洞还真是让人不可思议。网趣网上购物系统出漏洞的速度好像比当年万洞之王的动网还动网。。。网趣网上购物系统版本更新很快,随着新版本的发布新的漏洞也被人发现并公布。截至危险漫步写这篇文章的时候...
