鬼仔's Blog

鬼仔注：我记得以前EQdkp还爆过远程文件包含的漏洞。DKP系统，魔兽世界玩家应该不陌生。

来源：milw0rm

阅读全文 »

鬼仔注：都是国外的，有的是linux下的，为了方便下载，我已经打包了，下载地址：
Top 15 free SQL Injection Scanners.part1.rar
Top 15 free SQL Injection Scanners.part2.rar
怀疑绑马之类的，到文中看下载链接。

来源：WEB安全手册

While the adoption of web applications for conducting online business has 阅读全文 »

来源：milw0rm

阅读全文 »

/*******************************************************
作者：Chris Anley（[email protected]）
翻译：黯魂[S.S.T]
注意：转载请注明来自http://www.m0ther.cn,并恳请指正其中不准确之处:)
另外,译文我已经做成pdf格式文档,需要的朋友可以直接下载.
下载地址为:http://www.m0ther.cn/paper/advanced_sql_injection.pdf
********************************************************/

基于SQL server应用的高级SQL注入技术
阅读全文 »

鬼仔注：
h4k_b4n授权（ http://www.huaidan.org/blog ）首发，转载请注明。

h4k_b4n授权内容：
今天委托鬼仔（ http://www.huaidan.org/blog ）所公开的漏洞信息均为我方提交漏洞后，保留一定时间以后所公开的！任何与该信息产生的责任，与我方以及授权转载方无关！据知已有部分所谓黑客论坛在内部偷取信息然后进行小范围的信息传播，我们鄙视这样子的行为，鄙视偷取信息的某人！

信息来源：Bug.Center.Team内部论坛（ http://www.cnbct.org ）

发布日期：2006-12-20 应急事件响应公告（BCTCERA0611）
阅读全文 »

鬼仔注：
h4k_b4n授权（ http://www.huaidan.org/blog ）首发，转载请注明。

h4k_b4n授权内容：
今天委托鬼仔（ http://www.huaidan.org/blog ）所公开的漏洞信息均为我方提交漏洞后，保留一定时间以后所公开的！任何与该信息产生的责任，与我方以及授权转载方无关！据知已有部分所谓黑客论坛在内部偷取信息然后进行小范围的信息传播，我们鄙视这样子的行为，鄙视偷取信息的某人！

信息来源：Bug.Center.Team内部论坛（ http://www.cnbct.org ）

发布日期：2006-10-26 应急事件响应公告（BCTCERA0610）
阅读全文 »

鬼仔注：
h4k_b4n授权（ http://www.huaidan.org/blog ）首发，转载请注明。

h4k_b4n授权内容：
今天委托鬼仔（ http://www.huaidan.org/blog ）所公开的漏洞信息均为我方提交漏洞后，保留一定时间以后所公开的！任何与该信息产生的责任，与我方以及授权转载方无关！据知已有部分所谓黑客论坛在内部偷取信息然后进行小范围的信息传播，我们鄙视这样子的行为，鄙视偷取信息的某人！

信息来源：Bug.Center.Team内部论坛（ http://www.cnbct.org ）

发布日期：2006-10-18 应急事件响应公告（BCTCERA0607）
阅读全文 »

鬼仔注：很老的文章了，05年4月份的，存档。文章末尾提供DOC文档和文中提及的工具下载，其中DOC文档来自neeao那里，工具是我google了好长时间才找到的，不知道为什么这么难找。

作者：LCX

目前市面上的SQL INECTION工具很多，最受推崇的当属NBSI了。SQL INECTION的方法在网上是也是满天飞，大家仔细学一下都会很快的成为脚本入侵高手。可是无论是工具，还是众多方法，猜SQL数据的时候原理不外乎两种。一个是对方的WEB服务器在没有关闭错误提示的时候是用让SQL出错来暴出想要的信息；一个是在对方的WEB服务器关闭错误提示的时候采用ASCII码拆半分法分析。当关闭错误提示的时候，这时来猜数据就很慢了，遇到网速蜗牛的时候真是急死人，NBSI此时还经常会出现猜解错误是 阅读全文 »