最近我正在学习Oracle数据库的注入,在此就把学习的经过写下来和大家分享一下,本文的测试环境为.net+Oracle9i。我是在本地电脑中搭建环境来进行测试的,因为自己搭建的环境方便测试,即使出了错误也能很快的找到原因,搞明白了原因后才能更好的去测试安全。我自己使用net编写了一个存在搜索漏洞的...
小凯是某单位的网站管理员,近来他比较郁闷。原因是其单位的网站经常被黑客利用各种漏洞入侵,之后黑客会在其中搞一些恶作剧,例如删除网页文件,在网页中植入恶意代码或者木马程序等等。不是造成网站无法正常访问,就是当来访者访问了挂马网页,导致中毒的“惨剧”。即使发现了网站被黑,查找其原因来也比较繁琐。因为网站...
最近中国首创线下实体+线上网络进行服装批发、分销的平台一乐淘库与国内知名硬盘空间提供商一永硕E盘(YS168)正式达成战略合作关系。乐淘库与永硕将在产品、存储、广告方面进行全方位战略合作,通过双方强势平台之间的密切互动,为广大乐淘库商户提供精心整合的互联网服务。数据包存储空间注册指南:一:乐淘库商户...
今天在Q上的时候朋友让帮忙检测一下他的网站的安全性,正好今天也没什么事情,就答应了下来。打开他们主页,发现是PHP开发的。好了,先进行第一步的踩点吧。用wwwscan稍微扫描了一下,发现网站使用了eWebEditor和phpmyadmin。在eWebEditor还扫出了两个比较诱人的页面,那就先从他...
前几天在看一个网站的时候安全测试发现网站根目录下有个目录,打开后是个叫“广州信息网”的程序,连版权信息都是默认的,觉得应该有搞头。看下是否存在注入漏洞,找了个可能是注入点的进行测试,出来了似曾相识的防注入提示。在中国站长站找到了广州信息网程序的源代码下载了回来,然后在虚拟机中把程序运行了起来。找了个...
搞安全的朋友一定对各种论坛的漏洞很感兴趣,一旦出了个Oday,必然一个网站挨着一个网站的测试,危险漫步也是一样。其实可以自己组网,一般家里都有两台以上电脑,用路由器连接,一台安装论坛,另一台测试,这样一个小型的测试平台就搭建成功了。实验起来很方便。当然第一步是搭建一个论坛,这次,危险漫步给大家带来的...
网奇EShop网上商城系统的注射漏洞,利用漏洞可以直接爆管理员用户名和密码。经过本地测试利用此漏洞。下面把这个漏洞简单介绍分析。网奇EShop网上商城系统是基于.Net平台开发的免费商城系统,功能强大,操作方便,设置简便,无需任何设置,上传到支持asp.net的主机空间即可使用。目前最新版本为网奇E...
对于“Can'topensharedlibrary'udf.dllf”这条错误提示,相信使用过MySQL的朋友应该都不会感到陌生吧,明明是foot用户,但在使用udfdll提权创建自定义函数时却提示了这样的错误,以前我遇到这种情况时,就会抱怨自己运气不好,只好放弃利用MySQ...
来研究一下如何防御倒也算是个不错的。大家都知道,不管是入侵服务器,还是入侵成功后的一系列内网渗透行动,都有一个目的,就是连接对方的终端服务(当然种木马也是可以的,只不过木马都有自己的生命周期),并且入侵的手法与技巧,每个人也都会有自己的风格。记得以前我介绍下面我本人的一些新发现,也就是管理员设置的终...
漏洞挖掘听起来很神秘,其实也并非是高不可及的,只要打好了基础,一步一个脚印的去学习,我们就也可以挖掘出一些网站系统的0day漏洞来进行渗透测试安全工作,今天我就给大家介绍一下基于PHP脚本的漏洞挖掘技术。基于源代码的漏洞挖掘还是比较容易的,我们就以PHPAA文章管理系统为例,源代码可以到官方网站去下...
