鬼仔's Blog

鬼仔注：关于入侵oracle方面的文章现在不多。
最近网络出问题，更新不及时。

软件作者：pt007[at]vip.sina.com版权所有,转载请注明版权
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
一、先看下面的一个贴子:

Oracle数据库是现在很流行的数据库系统，很多大型网站都采用Oracle，它之所以倍受用户喜爱是因为它有以下突出的特点：

1、支持大数据库、多用户的高性能的事务处理。Oracle支持最大数据库，其大小可到几百千兆，可充分利用硬件设备。支持大量用户同时在同一数据上执行各种数据应用，并使数据争用最小，保证数据一致性。系统维护具有高的性能，Oracle每天可连续24小时工作，正常的系统操作(后备或个别计算机系统故障 阅读全文 »

来源：ReJeCt's Blog

user/buybag.asp
40行开始
if request.Form("action")="makeorder" then
Dim productIDS,OrderRs,BagRs,OrderDetail,OrderNumber,ExpressCompany
productIDS=DelHeadAndEndDot(request.Form("productIDS"))//这个函数功能是去掉头尾的逗号
Set OrderRs=Server.CreateObject(G_FS_RS)
Set BagRs=Server.CreateObject(G_FS_RS)
Set OrderDetail=Server.CreateObject(G_FS_RS)
OrderRs.open 阅读全文 »

来源：安全焦点
作者：T_Torchidy (jnchaha_at_163.com)

现在很多的php软件厂商为了一些目的都开始将自己的产品用Zend加密起来，当客户使用的时候根本不知道程序里面的细节，的确给那些搞安全的人很大的难度，所以一些厂商就开始认为只要是Zend过的产品都是安全的。但是其实不然，即使在不知道原代码并且不考虑Zend破解的情况下，我们一样可以利用 Php本身的一些特性来到达获取程序的一些商业逻辑以及信息以到达探测程序的漏洞等等。
测试程序的安全性方法一般有三种，第一是完全的不知道源代码，不知道程序内部处理的细节，完全靠输入的参数来猜测程序内部的细节以及可能出现的问题，另外一种就是能得到程序的代码知道代码的处理流程，通过对代码的分析来得到程序的问题。还有另外一种 阅读全文 »

这几天家里附近的电缆坏了，电话用不成，宽带也用不成，网通说修复日期不清楚，快开学了，就最后的这几天也不让好好玩了，郁闷。
因此，这两天也没更新，这几天更新可能也会不怎么及时，sorry。
greader上也是上千的未读。现在网吧更新的。

鬼仔注：在邪恶八进制一张帖子—《Radmin提权遇到的问题讨论》的回帖中看到的，cnhcerkf发的，觉得有用，就下了回来，传到网盘里。压缩包中含有动画。

下载地址：radmin_local_exp.rar

请大家转载的时候注明引用出处（http://blog.csdn.net/michael_veking）以及作者信息（veking），谢谢！

本文的目的是探讨JS相关技术，并不是以杀毒为主要目的，杀毒只是为讲解一些JS做铺垫的，呵呵，文章有点长，倒杯咖啡或者清茶慢慢看，学习切勿急躁！

最近公司的网络中了这两天闹的很欢的ARP病毒，导致大家都无法上网，给工作带来了很大的不方便，在这里写下杀毒的过程，希望对大家能有帮助！

现象：打开部分网页显示为乱码，好像是随机的行为，但是看似又不是，因为它一直在监视msn.com，呵呵，可能和微软有仇吧，继续查看源代码，发现头部有一个js文件链接—-<script src=http://9-6.in/n.js></script>；

阅读全文 »

原始出处：http://s0n9.blog.sohu.com/59791222.html
文章作者：茄子宝

富文本编辑器是一个开放式的HTML内容编辑环境，必须实现文字样式、链接、图片等功能的HTML，所以用户POST的内容必须含有HTML标签，但是任由用户输入各类HTML标签，会造成一些潜在的恶意脚本攻击，借这类情况正好分析出现XSS的情况，主要针对IE浏览器.
阅读全文 »

鬼仔注：从7j那里看到的，并且有7j写的接收页面。

7j:没有找到他说的接收页面,只有自已用PHP写个了
阅读全文 »

　　爱唠叨 — 又一个twitter类的站点，微型博客。
　　最近这段时间里看到我这里订阅的feed中，接这个话题广告的人，对于 爱唠叨 的批评比较多。
　　来看下 爱唠叨 的介绍：

　　“爱唠叨（www.ilaodao.cn）”是多种形式发布－即时更新，您可以通过msn、QQ（等im工具） 、网站、邮箱、手机短信和博客等形式上传唠叨。

　　随时随地关注－通过手机、网站、msn、邮箱、rss订阅、博客等方式查看朋友在做什么，了解朋友的一举一动。

　　注：在自己的博客或空间中加入爱唠叨提供的代码，用户（通过以上方式）随时更新，即可让其他人在这里看见写短信发送唠叨、通过自己的邮箱写唠叨
　　加入msn、QQ机器人，则可以用msn／QQ上传唠叨，可以让你的朋友看到。
　　登陆手机wap网站，可以查看和爱唠叨网站的同步内容
　　通过rss软件定制朋友的唠叨。
　　邀请朋友使用－用户可以向朋友发送邀请，利用朋友关系进行口碑传播

　　目前，“爱唠叨”推出了新闻、财经以及体育三大机器人，用户可以及时的收到各类要闻。要想取得这项功能也非常的简单，只要“爱唠叨”的注册用户开启了即时IM通知功能，并花几秒张把这三大机器人加为好友，它们就将为你提供实时、有用的信息并发到你的QQ、MSN等接收载体上，让你方便、快捷的获取最新发生的大事。

　　看下 爱唠叨 的界面：

　　有没有感觉链接的蓝色很扎眼？反正我是感觉这样，而且配色我看着不舒服，应该说是背景色看着不舒服。
　　还有就是字体的大小，用户名链接部分的字体，因为小的关系，跟正文部分明显错开了。不协调。
　　scavin因为名字中含有av这两个字母，结果连用户名都被过滤了，的确是比较郁闷，这样还能用的开心吗？
　　fisker说 爱唠叨 的logo很象飞信。
　　为什么url中要有个u？比如我的 http://www.ilaodao.cn/u/sunlei 。

　　目前我所知道的国内模仿twitter的站点有：饭否，叽歪的，还有我们的主角– 爱唠叨 ，这两点腾讯也来凑热闹，发布了滔滔。我个人对于这种twitter类的服务没什么兴趣，因此我也很少玩，虽然在这几个站上我都有帐号，但是发布的消息却都是都只有几条。我并不热衷于这种服务，玩不好。

　　说点题外话，很久没接到过feedsky的话题广告了，昨天看到feedsky推出了页面展示广告，但是我没有获得内侧资格，我一直都挺期待这样的服务，因为对于我的情况很适合。记得很久以前在Src在他blog透漏过这个消息。