文章列表
漏洞说明:Z-Blog是一款基于Asp平台的Blog博客(网志)程序,支持 Wap,支持Firefox,Oprea等浏览器,在国内使用非常广泛,官方主页在http://www.rainbowsoft.org/。Z- blog代码严谨,前台功能简洁,后台功能强大,这为它的产品安全带来很大的优势,但是80sec在产品中发现一个严重的跨站脚本攻击漏洞,加上产品设计上的一些问题可能带来严重的后果。漏洞厂商:http://www.rainbowsoft.org/漏洞解析:在FUNCTION/c_urlredirect.asp中,程序对提交的url参数做如下处理strUrl=URLDecodeForAnti ...
- 2008-07-12 14:54
- 浏览 869
- 评论(0)
LINQ - 對付 SQL Injection 的 "免費補洞策略" 作者:黃忠成 一連串的 Mass SQL Injection 攻擊,讓我們回憶起數年前的 SQL Injection 攻擊,多年後的今天,我們仍深陷於同樣的危機中,本文詳述 SQL Injection 的歷史、肇因、解決及偵測方法,更為讀者們引介全新、更加安全的防堵 SQL Injection 策略。 什麼是 SQL Injection? SQL Injection,中譯為 SQL 注入,更為人知的名稱是【資料隱碼攻擊】,意指開發人員於撰寫網頁應用程式之際,貪圖一時方便或是依循前人的慣性寫法而開啟的一道門。 ...
- 2008-07-12 14:51
- 浏览 918
- 评论(0)