2007年10月 的日志

避免 XPath 注入的危险

原文链接:点击访问

意识到风险以便更好地保护 XML 应用程序
级别: 中级
Robi Sen ([email protected]), 服务副总裁, Department13
2007 年 9 月 17 日

随着简单 XML API、Web 服务和 Rich Internet Applications (RIAs) 的发展,更多组织几乎在所有方面(从配置文件到远程过程调用)都采用 XML 作为数据格式。一些人已经使用 XML 文档代替更传统的纯文本文件或关系数据库,但是与任何其他允许外部用户提交数据的应用程序或技术相似,XML 阅读全文 »

Tags: , ,

突破SQL注入限制的一点想法

来源:老邪的博客

突然想我们是否可以用什么方法绕过SQL注入的限制呢?到网上考察了一下,提到的方法大多都是针对AND与“'”号和“=”号过滤的突破,虽然有点进步的地方,但还是有一些关键字没有绕过,由于我不常入侵网站所以也不敢对上述过滤的效果进行评论,但是可以肯定的是,效果不会很好……

经过我的收集,大部分的防注入程序都过滤了以下关键字:

and | select | update | chr | delete | %20from | ; | insert | mid | master. | set | =

而这里最难处理的就是select这个关键字了,那么我们怎样来突破他们呢?问题虽未完全解决,但还是说出来与大家分享一下,希望能抛砖引玉。

对于关键字的过滤,以下是我收集的以及我个人的一些想法。

1、运用编码技术绕过
阅读全文 »

Tags: ,

Injecting the script tag into XML

鬼仔:这几天一直在玩游戏,更新不及时。抱歉。

来源:Ph4nt0m Google Group

http://www.thespanner.co.uk/2007/10/09/injecting-the-script-tag-into-xml/

Firefox is now the browser I like hacking, there’s just so much stuff it
can do. I simply don’t have enough time to explore everything, but what I
have found was some very interesting XML behavior. I was helping Ronald
<http://www.0x000000.com/> 阅读全文 »

Tags:

《黑客道简史》(A Brief History of Hackerdom) 三、昔日不再

作者:埃里克?斯蒂芬?雷蒙(Eric Steven Raymond)【著】
译者:刘安辙(Angelo Liu)【译】
原文链接:http://catb.org/~esr/writings/hacker-history/hacker-history-5.html

  1980年,发生了很多大事。三股文化在边缘交迭却依旧固守着迥异的技术阵线。ARPAnet/PDP-10文化与LISP、MACRO 、TOPS-10 、ITS 以及SAIL联姻; Unix和C语言的用户群则使用PDP-11和VAXen,并通过单薄的电话线彼此相通;而由早期微电脑迷组成的无政府部落则致力于让电脑科技平民化。

  三者之中,ITS仍旧盘踞在首要地位。但是暴雨前的乌云逐渐笼罩了实验室(指麻省理工学院——译者按)。IT 阅读全文 »

Tags:

《黑客道简史》(A Brief History of Hackerdom) 二、Unix兴起

作者:埃里克?斯蒂芬?雷蒙(Eric Steven Raymond)【著】
译者:刘安辙(Angelo Liu)【译】
原文链接:http://catb.org/~esr/writings/hacker-history/hacker-history-5.html

  1969年,在ARPAnet光辉照耀不到的新泽西郊外,正有人在酝酿着什么,最终PDP-10的传统也将为此颠覆。ARPAnet诞生的那一年,贝尔实验室的黑客肯·汤普森(Ken Thompson)发明了Unix。

  汤普森曾经参与了Multics的研发,这是一个与ITS拥有共同先祖[1]的分时操作系统。Multics可以说是一个试验台,通过它,人们尝试是否可以将复杂的操作系统(甚至是绝大部分程序)隐藏起来,不让用户直接接触。这 阅读全文 »

Tags:

《黑客道简史》(A Brief History of Hackerdom) 一、早期的黑客

作者:埃里克?斯蒂芬?雷蒙(Eric Steven Raymond)【著】
译者:刘安辙(Angelo Liu)【译】
原文链接:http://catb.org/~esr/writings/hacker-history/hacker-history-5.html

  黑客文化的起源可以追溯到1961年,那一年麻省理工学院(MIT)终于得到了第一台PDP-1计算机。学院技术模型铁路俱乐部(Tech Model Railroad Club,TMRC) 的信号动力委员会(Signals and Power Committee,S&P)把它作为最时髦的科技玩具,并由此产生了许多程序设计工具、术语、和整个文化氛围——这些,直到今日我们仍然依稀可辨。史蒂文·利维(Steven Levy)在《黑客》(Hackers)的第一部分中详细的记录了这段岁月。
阅读全文 »

Tags:

《黑客道简史》(A Brief History of Hackerdom) 序言:真正的程序师

译者题解:

  Hackerdom,黑客道!

  《中庸》开宗明义提出:“天命之谓性,率性之谓道,修道之谓教”的总纲。而其中一个“道”字也成为了我们华人千百年生活的主题。我们没有办法用具体的语言描述“道”(哪怕是我的道),它既是一种态度、也是一种模式更加是一种“通天人”的方法。如同dom作为英文名词词尾将其抽象一样,我想“道”更多是对精神层面的探究。所以,我试图用这样的翻译向汉语读者传递最准确的释义。因为我相信一个根植中国文化的人,不管有没有觉察都有自己的“道”,也可以理解“黑客道”!

作者:埃里克?斯蒂芬?雷蒙(Eric Steven Raymond)【著】
译者:刘安辙(Angelo Liu)【译】
原文链接:http://catb.org/~esr/writings/hacker 阅读全文 »

Tags:

Cisco路由器入侵艺术

来源:amxku's blog

奔流不息的网络里,Web 绽放着绚丽的色彩、电子邮件呼哧的穿梭网际、语音电话、网络会议、文件传输,各种数据交织错落,形成辉煌的数字世界。在喧闹的数字世界底层,存在一种精致的次序,这种次序决定着数据的选路、异构介质衔接、协议的交互等功能。而这一次序的缔造者正是布满整个网络的路由器。于是,路由器成了数据通信的交通亭,也成为了众多黑帽(Blackhat)争夺的目标之一。Cisco 路由器占据这网络世界的绝对位置,于是安全焦点效应激发了路由入侵与防御而产生的精美艺术。下面我将由浅入深的方式讲述Cisco 入侵的手段以及防御策略。

下载地址:cisco路由器入侵艺术.rar

Tags: