http://www.12258.net/thread-713-1-1.html

paper写得不错。学习中，就是太长了，两百多页啊。

by amxku
2008-10-29
http://www.luoq.net

在informix中，有三个数据库特权级别：DBA、Resource 和 Connect
Connect 特权允许用户访问数据库以及添加、修改和删除数据。
Resource 特权授予用户所有 Connect 特权，还授予创建新的表、索引和过程的特权。
DBA 特权包括 Connect 和 Resurce 特权，还授予用户把 Resource、Connect 或DBA 特权授予其他用户的权力。具有DBA 特权的用户还可以删除数据库中的所有对象或完全删除数据库。

informix在数据库、表和列级都应用了安全措施。但是所有安全措施都基于用来连接数库的用户名。Informix 使用关键字 public 表示应用于所有用户的特权。public关键字是一个非常强大的工具，可以开放对数据的访问。

» 阅读全文

by amxku
2008-09-28
http://www.wolfexp.net

在php中用户的输入数据为 GET、POST 和 COOKIE 三种，一般被称为 GPC 数据。php4.3.0之后的版本中register_globals 的默认值为off，但现在还是有部分在php.ini中将register_globals 的设为on，所以这里就存在了一些隐藏的风险。

register_globals 本身并没有安全风险。但如果将register_globals设为on，在全局名称空间和 $_GET、$_POST 或 $_COOKIE 数组中，将创建 GET、POST 和 COOKIE 传递到 PHP 脚本的所有变量。各种变量都被注入代码。再加上 PHP 在使用变量之前是无需进行初始化的，如果开发人员没有好的编程习惯，这就使得更容易产生一些安全风险。

» 阅读全文

很猥琐的submitjacking，在群里看到的。应该不是owasp里提到的clickjacking，但也挺有意思，OWASP会议上的Clickjacking可以看看刺写的OWASP会议上的Clickjacking。

可参见http://www.planb-security.net/notclickjacking/

先看效果图

» 阅读全文

跟了一天，无语了。还是没有搞定。呼呼

不知道tk教主怎么搞定的。回头跟罗哥请教请教

php在进行utf8编码转换时比较严格，对于提交不合法的数据将丢掉或不解析，而第三方编码类在这里会进行强行转换。这就是这两天转码引发了一连串的东东。

sablog 1.6注射漏洞 http://www.sebug.net/vulndb/3784/
Discuz!论坛wap功能模块编码的注射漏洞 http://www.sebug.net/vulndb/3778/
PHPWind Forums编码注射漏洞 http://www.sebug.net/vulndb/3785/

下了几套开源的系统看看了，还有部分系统也同意存在这样的问题。比较龌龊的东东。建议采用第三方编码转换类的朋友检查一下。

终于还是藏不住了啊。哈哈

http://groups.google.com/group/ph4nt0m/browse_thread/thread/4cf7f46334ff6656