鬼仔's Blog

漏洞说明：Sablog-X是一个采用PHP和MySQL构建的博客系统.作为Sablog的后继产品,Sablog-X在代码质量,运行效率,负载能力,安全等级,功能可操控性和权限严密性等方面都在原有的基础上,更上一层楼.凭借Sablog-X作者7年多的安全技术经验,4年的PHP开发经验,强于创新,追求完美的设计理念,使得Sablog-X已获得业内越来越多专家和用户的认可.但是80sec在其中的代码里发现一个安全漏洞，导致远程用户通过SQL注射获得数据库权限，甚至获得管理员权限。

漏洞厂商：http://www.sablog.net
阅读全文 »

漏洞说明：在外面广泛使用的众多php编码转换类中，已经被证明在某些情况下会存在安全问题，构造畸形的数据将导致转换类的结果不可靠，从而可能使数据绕过系统的安全认证，一些开源程序如Discuz，Phpwind已经被批漏存在问题，Discuz和Phpwind均已发布补丁。

漏洞厂商：众多第三方编码转换类
阅读全文 »

来源：柳永法(yongfa365)'Blog

专题名称：IIS日志清理专题,CMD版,VBS版,JS版,WSH版

关键词：IIS日志清理,日志清理,IIS日志清理CMD版,IIS日志清理VBS版,IIS日志清理JS版,IIS日志清理WSH版

应用场合：主要用与虚拟主机，也可用于个人服务器

产生背景：2005 年某月某日，一向运行正常的虚拟主机死机了，让机房值班人员重启数次，都不成，接显示器进系统看，提示：C盘空间不足，半夜还得去机房处理，到机房后先断 网，再进系统发现有两个地方有问题，C:\WINDOWS\system32\LogFiles文件有6G，还有一个就是Symantec隔离病毒的地 方，到网上找了下，最大可能性是我们的虚拟主机的所有日志都写在这里，并且没人知道写在这里，郁闷，在IIS里看了下，还真是这么回事，日志天天都在长， 当时公司订单很多也没人关注这个，当时清理了一下，系统正常，回到公司后把IIS日志改到别的盘了。
阅读全文 »

鬼仔注：代码我放这里了。

来源：陆羽's Blog

以前网上找到一个打包网站的程序ASPWebPack。
原创作者：Cool-Co [YuLv] 联系方法：QQ:1240041
程序改进：陆羽
程序版本：1.2.0
拥有了 ASPWebPack，上传更新网站，您只需一步即可完成。
反正存在一些Bug和不足，自己给改进了下。方便自己和朋友内部使用了好长时间。今天看到鬼仔那发了一个，觉得不是很好，而且没法看打包的进度，大了还容易挂掉，反正简单的说就是不稳定，所以把我的也发出来共享吧。
阅读全文 »

作者：冰封浪子

由于发在blog上的漏洞资料给一位牛牛搞了.官方已出补丁.(由于 PHP 对 多字节字符集的支持存在问题，在各种编码相互转换过程中，有可能引发程序溢出和程序错误)
我很生气(mb日就日.tmd你共享个毛)
在这我说下过程:
阅读全文 »

作者：axis

这两天我们的老朋友PDP在BlackHat 08上做了一个关于GIFAR的演讲。和往常一样，PDP的东西基本上都很猥琐，这个也是。主题是关于是如何把GIF或者 JPG文件和JAR文件捆绑在一起，然后欺骗服务器以为是GIF或JPG文件，结果却是在客户端的JVM中执行JAR的例子。

他还举了些欺骗的例子，比如在office2007中，doc文件实际上就是zip格式了，里面都是些xml，那么他把jar文件打包在zip文件里，再把后缀改成doc，来达到欺骗的目的。

在这里是客户端的问题，我想到的则是其他的问题，比如安全上传。
阅读全文 »