天存iGuard防篡改软件简单突破
2009-03-31 , 星期二
Translate
来源:皇子
InfoGuard,简称iGuard,俗称网页文件防止篡改器,昨天晚上被这个东西弄的头大了,好好研究了下,找到了解决办法,记录一下.
先给出这个东西的效果,随便丢了个webshell进去,没有被杀,服务器上是存在的,但是访问的时候就变成了这个胎蠢样子:
x86都跑不了:Intel平台SMM漏洞门事件
2009-03-29 , 星期天
Translate
在2009 Black hat黑帽大会上,曾经有一条重大的消息爆出。一位波兰的女计算机安全专家,指出在当今的基于x86架构的处理器上,都存在着一个硬件级别的安全漏洞。黑客可以利用这个漏洞攻破你的计算机系统。我们都知道,目前的各种电脑,台式电脑,乃至服务器,大多数都是基于x86架构的。这位女安全专家一言即出,就引得四处哗然。
近期安全回顾:云计算有风险 ATM机成骇客新宠
2009-03-28 , 星期六
Translate
安全方面值得关注的消息较多,云计算的安全问题仍是近期的热点,上周Google Docs泄漏用户敏感文件的风波刚过,云计算服务对现有安全标准和法律法规在遵从性方面的缺失再次被安全行业所关注。恶意软件的威胁在近段时间进一步提 升,安全厂商已经捕获到基于DHCP协议和专门针对ATM自动柜员机的恶意软件样本。在本期回顾的最后,笔者仍为朋友们精心挑选了两个值得一读的推荐阅读 文章。
TinX CMS内容管理系统的rss.php模块 SQL注入漏洞
2009-03-28 , 星期六
Translate
受影响系统:
TinX/cms TinX/cms 3.x
不受影响系统:
TinX/cms TinX/cms 3.5.1
描述:
TinX/cms是使用PHP/MySQL编写的开源内容管理系统。
TinX的CMS rss.php模块中没有正确地验证传送给id参数的用户输入,远程攻击者可以通过提交恶意请求执行SQL注入攻击。
厂商补丁:
目前厂商已经发布了升级补丁以修复这个安全问题,请到厂商的主页下载:http://sourceforge.net/project/shownotes.php?group_id=133415&release_id=658540
实现SQL注入扫描 WebPecker扫描器简单介绍
2009-03-26 , 星期四
Translate
越来越多的企业、组织通过Web开展业务。Gartner研究报告称75%的攻击都是通过Web来进行的。
SQL注入问题存在已经很久了,主要的原因是Web应用程序对用户输入检查不严格、数据库链接权限控制不严格、数据库操作行为控制不严格。正因为是历史问题,加上代码越来越繁杂,修修补补的牵扯太多,所以很多用户都存在侥幸心理,觉得自己不会那么不幸运吧。
最全Wifi黑客资源光盘版 Wifi hack AIO 2009
2009-03-24 , 星期二
Translate
Zum组织继去年放出2008版本后,今天放出其精心制作的2009版最新的Wifi黑客资源光盘,包含的工具见下图。这个工具盘有许多国外黑客收集的各种工具,可用其让你在无线WIFI的区域无线网中为所欲为。
Wifi hack AIO 2009 包含Windows和Linux操作平台下和一些额外工具!
WIFI全称Wireless Fidelity,又称802.11b标准,它的最大优点就是传输速度较高,可以达到11Mbps,另外它的有效距离也很长,同时也与已有的各种802.11DSSS设备兼容。
PWN2OWN黑客大赛2009到底有哪些猛料?
2009-03-21 , 星期六
Translate
3月18日黑客大赛如火如荼的开始之后,网上出现了很多相关赛事的报道。如“黑客5秒钟攻破Mac系统 Safari是罪魁祸首”和“黑客大赛曝Safari、IE8与Firefox零日攻击”等。
到底今年的大赛到底准备了那些系统和软件让大家来测试和攻击?到底准备了那些猛料?
Acunetix Web Vulnerability Scanner 20090317 Crack
2009-03-18 , 星期三
Translate
Release Note: 根据官方的一贯传统,暂未更新。。。目前最新的说明是20090211的
URL:http://www.acunetix.com/support/build-history.htm
安装程序名:2009_03_17_02_webvulnscan6.exe
下载地址:hhttp://www.namipan.com/d/2009_03_17_02_webvulnscan6.exe/32930158ba8640253c5eeb280fc503487c7bfe0880c0db00
漏洞扫描工具nikto使用心得
2009-03-18 , 星期三
Translate
#http://www.cirt.net/ 官方网站
# site http://www.feelids.com*/
# Author:swap
简单扫描 目标基本WEB基本配制信息,服务器,PHP解析器等版本信息
perl nkito.pl –h 192.168.0.1
多端口扫描
Perl nikto.pl –h 192.168.0.1 –p 80,88,443
加代理扫描
Perl nikto.pl –h 192.168.0.1 –p 80 –u
基于IE的MIME sniffing功能的跨站点脚本攻击
2009-03-16 , 星期一
Translate
IE有一个特性,那就是在将一个文件展示给用户之前会首先检查文件的类型,这乍看起来并没什么问题,但实际上这是相当危险的,因为这会允许IE执行图片中的代码,即嵌入在一个图像中的JavaScript代码。引入MIME sniffing功能的初衷是用来弥补Web服务器响应一个图像请求时有可能返回错误的内容类型信息这一缺陷。
但是事不遂人愿,心怀不轨的人可以轻易滥用这一特性,如通过精心制作一个图像文件,并在其中嵌入可以被浏览器所展示和执行的HTML和JavaScript代码。本文将深入考察该问题,并为用户和网站开发人员介绍如何降低此问题带来的风险。
Web应用安全思维导图
2009-03-13 , 星期五
Translate
Page 1 of 11
English
