在攻击访问网站的客户的时候,黑客往往会利用网站服务器并把它变成自己的帮凶,微软称这种攻击为“跨站Script攻击”。一、跨站Script的攻击1、攻击介绍如果服务器对用户的输入不进行有效的验证,攻击者就会输入一些恶意的HTML代码,当这些HTML代码用于Script程序时,就会被攻击者用来进行破坏,...
一、前言Discuz!是国内使用非常广泛的一个论坛系统,目前最新的版本是7.0,前段时间有人在网上公布了一个在Discuzi7.0后台获取Webshell的方法,但是该方法的局限性非常大,需要论坛创始人的密码才行,可以说成功率很低。今天我们就来实践另一种在后台获取Webshell的方法,其实也不能...
在安全测试过程中,经常会遇到站长使用该文中的思路和方法来保护自己的数据库不被下载,但是这样设置后真的能防止数据库不被下载吗?那么到底又该怎样防止下载呢?且看我下面进行详细讲解。首先,我对文中作者的分析过程实在不敢苟同,文中提到当我们访问#%23test.mdb或##test.mdb时会返回一个页面,...
当我们浏览QQ好友的空间时,有时会听到非常好的歌曲,那么如何获取这些歌曲的地址,并且下载呢!于是我开始在网上东翻西找,总算找到了一款不错的工具,可以通过他的QQ空间歌曲查询,来查询出好友的音乐。在输入框中填写我们想要的QQ号码,然后单击QQ空间歌曲查询,按钮就会弹出一个窗口,然后我们就可以查询出指定...
最近一段时间呆在家里挺无聊的。通过后台可以看到我本地搭建使用的是PSP168的系统,我的第一想法就是看有没有最新的那个可以下载任意文件的漏洞简单的说,这个漏洞产生的原因其实是利用了程序的编码漏洞来下载配置和登录的日志文件,通过下载PSP168中的登录日志文件cache/adrninLoginWp....
通常大家在入侵网站的时候得到了管理员密码的md5散列,然后到md5等在线破解网站上去解密,因为有些管理员的疏忽,密码设置的复杂程度不够而轻易的就被破解出来了。这里我教大家一个简单修改asp源代码的方法,就可以让那些入侵网站的朋友即使拿到了md5也没有用,就算md5被跑出来了,在登陆的时候也会提示密码...
记得在网上曾经看过一个帖子,如果没有记错的话,它所介绍的关于安全设置的内容主要是针对代码的,而今天我要说的Web服务器的安全则是从安全设置角度出发的,即使你不会代码按照我介绍的方法也能做到相应的安全。一、攻击1、旁注在对网站的攻击中我们经常会听到一个名词“旁注”,那么“旁注”到底是什么意思呢?顾名思...
前几天在网上转悠,看到有人公布了SiteDvnamic企业网站管理系统的一个漏洞,利用该漏洞可以轻松得到wcbshell,由于正值放假,也懒的测试,这几天闲了,才从网上下载了SiteDvnamic企业网站管理系统并在虚拟机里搭建了一个环境来测试,根据网上介绍的方法成功得到了webshell。这个漏洞...
我曾经写过一篇对锐捷GSN入侵检测系统分析的文章,这种系统适用于企业或学校这样的组织机构,但今天我要介绍的不是这类系统,而是本人使用PHP脚本语言编写的,用于快速检测web服务器是否被挂马的迷你入侵检测系统,既然是使用PHP编写的,自然也就只适用于PHP类的网站了。目前关于入侵PHP类网站的技术及相...
之前在网上也看过很多的免费论坛,但是我觉得都不怎么好,而且还有诸多的不方便,然后经过我的一番苦寻,总算在网上找到一个非常不错的免费论坛。我们首先打开这个网站,然后在免费论坛申请中填写好相关的信息,这就和我们到各种网站注册差不多。注册完成后,我们就会得到一个类似于“http://xxx.xxx.com...
