8月
8月31号,又一个月过去了,同样的没什么收获,感觉自己真的变懒了 :sad: 。不能再这样下去了,要恢复以前的样子。 :lol:
发表点感慨:
昨天无事,躺在床上抽烟的时候,看着从自己口中吐出来的烟,慢慢的扩散,变淡,最后消失的无影无踪……
心里突然有种失落感,在想,也许哪天我也会像这口烟一样,在这个世界上消失得无影无踪吧。。
08月, 2005 的日志
105条名人名言
1.每个人都是自己的命运建筑师--沙拉斯特
2.生活是锻鍊灵魂的妙方--勃朗宁
3.怎样思想,就有怎样的生活--爱默生
4.面对光明,阴影就在我们身後--海伦凯勒
5.幸运是机会的影子--苏格拉底
6.信心是命运的主宰--海伦凯勒
7.书是唯一不死的东西--邱特
8.友谊能增进快乐,减少痛苦--爱迪生
9.成功可招引朋友,挫败可考验朋友--西拿斯
10.朋友是一面镜子--西谚
11.让你的恶习先你而死--富兰克林
12.弱者等待时机,强者制造时机--居礼夫人
13.我承认自己的结论有九十九次是错误的.--爱因斯坦
14.你若对自己诚实,日积月累,就无法对别人不忠了.--莎士比亚
15.我是闲暇为所有财富中最美好的财富.--苏格拉底
16.钱,给你带来食物,但不给你带来食欲.
17.钱,给你带来药,但不给你带来健康.
18.钱,给你结识人,但不给你带来真正的朋友.
19.钱,给你带来仆人,但不给你带来信赖.
阅读全文 »
SQL注入技术和跨站脚本攻击的检测
原文作者:K. K. Mookhey,Nilesh Burghate
文章翻译:FPX[B.C.T]
1. 介绍
在最后 两年中,安全专家应该对网络应用层的攻击更加重视。因为无论你有多强壮的防火墙规则设置或者非常勤于补漏的修补机制,如果你的网络应用程序开发者没有遵循 安全代码进行开发,攻击者将通过80端口进入你的系统。广泛被使用的两个主要攻击技术是SQL注入[ref1]和CSS[ref2]攻击。SQL注入是指:通过互联网的输入区域,插入SQL meta-characters(特殊字符 代表一些数据)和指令,操纵执行后端的SQL查询的技术。这些攻击主要针对其他组织的WEB服务器。CSS攻击通过在URL里插入script标签,然后 诱导信任它们的用户点击它们,确保恶意Javascript代码在受害人的机器上运行。这些攻击利用了用户和服务器之间的信任关系,事实上服务器没有对输入、输出进行检测,从而未拒绝javascript代码。
阅读全文 »
轻松获得oblog 2.52的WebShell
文章作者:千寂孤城
信息来源:邪恶八进制信息安全团队
一、方法
1、先进后台。利用CheckUserLogined漏洞直接加个后台管理员。关于这个CheckUserLogined漏洞我在《Blog的噩梦》(http://www.eviloctal.com/forum/htm_data/10/0508/13721.html )中有详细的说明,大概就是说可以通过Cookies欺骗搞SQL注入。
2、在后台的“网站信息配置”处有个“普通会员上传文件类型”,给它加一个aaaspspsp类型。
3、用个普通帐号登陆,来到上传文件的页面http://blog.***.com/upload.asp ,看到了吗?可上传文件多了个“aaspsp”类型。好,把你的马x.asp改名为x.aaspsp,然后传上去。
4、到你自己的blog后台去看一看,是不是成功上传了x.asp了?:)
二、原理
阅读全文 »
