2008年12月 的日志

HZHOST域名虚拟主机管理系统sql注射漏洞+进一步利用

作者:叉叉兵

这是一个域名主机实时管理系统。在百度搜索: title: (域名主机实时管理系统) ,会找到大量采用这种系统的网站!太术语了。就是在线开通ftp.sql.web的一个管理系统。一套web程序。和IIS管理程序。实现在线开通的玩 意。所以:我们可以免费申请域名和空间!!哈哈!!!

web程序方面写的非常严谨。大量的过滤。由于是商业版的程序,所以我没有源码。本来是有的,但是放在家里的电脑上。放暑假时搞的shell现在都被删了。。。我现在又比较懒,就没去弄源代码。反正大家知道怎么弄的就行了。
阅读全文 »

Tags: , , ,

逃离Yupoo并转移图片到本地的过程

以前一直不想把图片放在自己Blog的空间里,觉得这样的话可以保证Blog的大小,转移的时候方便,所以就一直选择使用网络相册来保存Blog里用到的图片,然后再链接过来。

在使用Yupoo之前,用的是Flickr,但是后来因为GFW的问题,不得不放弃Flickr。

我在Yupoo上传第一张图片是2006年1月5日,从2006年7月开始将blog上的图片放到Yupoo上,到现在也有2000多张了。一直用Yupoo用的好好的,但是最近Yupoo推出了防盗链功能之后,也没办法继续使用了,只有把图片都转到了本地。
阅读全文 »

Tags: ,

一种真正意义上的Session劫持

Author: jianxin [80sec]
EMail: jianxin#80sec.com
Site: http://www.80sec.com
Date: 2008-12-24
From: http://www.80sec.com/release/session-hijacking.txt

[ 目录 ]

0×00 应用程序认证设计背景
0×01 常规攻击思路及缺陷
0×02 利用应用程序设计缺陷进行Session劫持的攻击原理
0×03 Session劫持的大致思路及意义
0×04 如何防御这种攻击
阅读全文 »

Tags: ,

IXPUB 网络安全技术大赛(08年圣诞新年版)

一共四关——通关后请联系管理员QQ。
关卡入口:www.hack-game.cn
阅读全文 »

Tags:

网络钓鱼攻击技术分析及防范

Author: rayh4c [80sec]
EMail: rayh4c#80sec.com
Site: http://www.80sec.com
Date: 2008-12-22
From: http://www.80sec.com/release/Phishing.txt

[ 目录 ]

0×00 网络钓鱼形势分析
0×01 网络钓鱼原理分析
0×02 URL编码结合钓鱼技术
0×03 Web漏洞结合钓鱼技术
0×04 伪造Email地址结合钓鱼技术
0×05 浏览器漏洞结合钓鱼技术
0×06 如何防范网络钓鱼攻击
0×07 内容关键字匹配URL检测钓鱼攻击
0×08 后记
0×09 参考
阅读全文 »

Tags:

网易跨域实现笔记以及顺便发现的XSS

作者:

因为我认识的朋友里面国内各大网站都有,前两天发了校内网的bug,可是现在多了个校内网的朋友,不太好意思发那些例子。正好不认识网易的人,那就发网易的漏洞做典型吧,也许还能让我们的whitehat社区趁机扩大下。

先说跨域实现的笔记,再讲漏洞。

今天本来不是研究这个跨域实现问题,不过顺道看到了这个,做下笔记,暂时还没想到有什么安全隐患,哪位有创意的朋友可以仔细思考下里面是否存在问题,我也会找时间好好想想。
阅读全文 »

Tags: , ,

Oracle Pwnage Part 6 from DBA to SYS

作者:CG

In some of the past posts I covered finding a user default user account or account with an easy to guess username/password for Oracle and taking that user to DBA via SQL Injection in Oracle packages.

I’ve been neglecting the blog a bit porting some of the public SQLI for Oracle into metasploit auxiliary modules. Not sure when its going to be put into the trunk but it will be at some point, I think MC is working on the mixin to reduce the dependence on the Oracle instantclient.
阅读全文 »

Tags: ,

(研討會)Web安全防範應用技術研討課程(資料下載)

来源:網路攻防戰

台北場:

時間 內容 主講人
13:00~13:30 報到
13:30~14:20 主題:網站安全防禦術

陶靖霖
(阿碼科技資安顧問)
14:20~14:30 中場休息
14:30~15:20 主題:網頁安全實務

李柏逸
(網駭科技技術顧問)
15:20~15:30 中場休息
15:30~16:20 主題:2008年度攻防手法整理探討

呂守箴
(漢昕科技資安顧問)
16:20~16:30 Q & A

阅读全文 »

Tags: