JavaScript 真的很不安全
来源:梦之光芒
AJAX让javascript再次大行其道,但JavaScript 真的很不安全。
基于JavaScript的浏览器攻击层出不穷, news.com.com上报道的新的漏洞 。
客户端的js脚本能够在客户端扫描你的机器和内网。然后用Ajax技术将结果发回服务器端。而你所做的只是在浏览网页,你根本不知道后台的javascript在做写什么。
阅读全文 »
php注入十点基本步骤
来源:Neeao
1.判断是否存在注入,加';and 1=1;and 1=2
2.判断版本 and ord(mid(version(),1,1))>51 /* 返回正常说明是4.0以上版本,可以用union查询
3.利用order by 暴字段,在网址后加 order by 10 /* 如果返回正常说明字段大于10
4.再利用union来查询准确字段,如: and 1=2 union select 1,2,3,……./*直到返回正常,说明猜到准确字段数。如过滤了空格可以用/**/代替。
5.判断数据库连接帐号有没有写权限,and (select count(*) from 阅读全文 »
微软反跨站攻击脚本库 v1.5
来源:cnBeta.com
此下载包含Microsoft Application Security Anti-Cross Site Scripting Library的分发组件.Anti-Cross Site Scripting Library可以为网站开发人员提供基于Web应用防护,以抵御源自 Cross-Site Scripting (XSS跨站漏洞)的攻击.
下载: [url=http://www.microsoft.com/downloads/details.aspx?FamilyID=efb9c819-53ff-4f82-bfaf-e11625130c25&DisplayLang=en]Microsoft 阅读全文 »
Tags: 微软, 跨站开源 digg-like 中文代码,建立自己的 digg 网站
来源:Solidot
这里介绍了两个开源的比较成熟的类似 Digg.com 的网站代码,其中 Pligg 是国外开发的,文章提交者已经进行了汉化。
"汉化版的Pligg(php+mysql)和Wodig是两款最好的中文 digg 开源程序,需要开设 digg 站点的站长们可以选择使用。Wodig由国人开发,中文支持当然是没有问题,不过程序较大,bug较多,开发小组更新的还算及时。Pligg则是国外开发的一款仿digg.com的开源dig程序,相对比较成熟稳定,虽然还没有脱离beta版测试,但是已经进入了beta 8稳定版,程序本身只有706K,界面友好,值得推荐。Pligg 阅读全文 »
Tags: diggTor+Privoxy+TorCP 组合包绿色免安装版
ps:以前总结过 Tor相关的两个小工具 。
来源:荒 ⌒soGoo⌒ 堂
TorCP必要的注册表设置改成用inf文件写入,不需要再手动修改reg文件了…
使用方法:
第一次运行前需要执行install.cmd,然后运行TorCP.exe如果任务栏显示带对勾标记的洋葱头图标即表示可以正常使用了。
运行:
执行 run.bat 将由TorCP调用Tor,你不会看到Tor的那个命令行窗口
执行 run_noCP.bat 将和原先一样直接调用Tor,如果你还是喜欢看那个命令行窗口的话
阅读全文 »
动易0day–Region.asp注入
ps:标题是我自己加的
哇哈哈,昨天看到动易出补丁了,甚是郁闷,俺拿到这个0day都还没开始玩,就这样被洗白鸟,郁闷啊,早知道不玩动易主站,而且是get提交方式,当初如果听CN的话,也许这个0day还会一直埋在地下,刚看了下动易的补丁,这次补的地方不至这一个,哈哈,传说的7个以上的bug,不知道还省几个呢?下面是大概一个月前写的东西,发出来给大家搞一些懒惰的管理员,补丁都发2天了,还没补的话,就是管理员的错了哦,呵呵~~~38也还没补哦,要上的就快上,哈哈~~~
文章标题:动易最新未公开Bug
文章作者:WhyTt
漏洞发现时间:2006年10月22日
个人Blog:http://why_tt.mblogger.cn //个人
阅读全文 »
