wangdei
- 浏览: 374309 次
-
最新评论
-
strchi:
这个网站,什么都没有了
做小说搜索网站,这个是不是有可能会侵权的呢? -
从此醉:
楼主倒是给出解决办法啊
Java虚拟机支持的最大内存限制 -
kjmmlzq19851226:
又要增强客户体验,又要降低伪造攻击的概率,╮(╯▽╰)╭,程序 ...
Web安全测试之跨站请求伪造(CSRF)篇(图) -
zhangxinze:
linux下使用Java获取客户端ip地址?大家有何高见,我现 ...
怎样用Java来获取真实的IP地址 -
k_kid9157:
学习 感谢分享:-)
log4j的ConversionPattern参数的格式含义
文章列表
某天晚上在IRC的时候,一个老朋友说帮他看看他的新主页的安全性,然后给出URL是www.bt285.cn,我一看觉得挺眼熟的,www.bt285.cn 公司里面的CEO,人事部经理,网管我都认识的,前段时间还差点去了那里做网管呢,呵呵,那就看看他们的服务器做的如何吧。
随后用nmap扫描了一下abc.target.net,发现开的端口挺多的,看来没有安装防火墙或做TCP/IP过滤。从IIS版本判断是Windows 2000的服务器。IIS没什么好利用的,一看开了3306端口,是mysql的,就用我的mysql客户端尝试连接了一下,root的密码竟然为空,后来就觉得没有多大意思,于是把目标转 ...
- 2009-02-23 11:46
- 浏览 1501
- 评论(1)
明小子 http://www.bt285.cn/soft/Domain3.6.rar
阿D http://www.bt285.cn/soft/aD_SQLTools1
- 2009-02-23 11:34
- 浏览 1197
- 评论(0)
地址:http://www.lengmo.net/post/1165/
- 2009-02-23 11:05
- 浏览 980
- 评论(0)
直接打开http://www.cmd5.com网站,输入获取的两个Md5密码进行破解,admin的密码没有查询结果,long用户的md5值破解为“332211”,如图11所示。说明:在破解时首选通过网站在线查询md5,如果是在破解不了再使用md5craker进行破解,cmd5网站破解效果好,但有次数限制,据说有4TB数据,还是黑手的md5破解网站(www.xmd5.org)比较好,仔细看第10期黑手,好像没有这个网站的名称了,不知道以后还能不能用到了,虽然排名第二,还是非常不错的。在cmd5和xmd5网站中均不能破解admin的md5值,只要暂时放弃。
- 2009-02-23 10:47
- 浏览 1819
- 评论(0)
扫描探测
Bluephantom
HScan v1.20
2005-12-3
1568
多线程方式对指定IP段(指定主机),或主机列表进行检测.GUI和命令行两种方式. 扫描项目: -name --- 获取主机名; -port --- 默认端口扫描; -ftp --- FTP Banner,匿名用户,弱口令账号扫描; -ssh --- SSH Banner扫描; -telnet --- TELNET Banner,弱口令账号扫描; -smtp --- SMTP Banner,匿名用户,弱口令账号扫描; -finger --- FINGER漏洞(SunOS/Solaris 用 ...
- 2009-02-23 10:35
- 浏览 3947
- 评论(0)
http://www.lengmo.net/post/1218/
无意中看见一个图形设计网站,网站全部由静态asp构成,做得十分漂亮。感叹它设计精美的同时,不由心里嘀咕,全静态asp页面的确能防止注入漏洞的产生,但WEB漏洞不止注入这一种,我很想看看这个网站在其他漏洞的防范方面做得如何。在Google上搜索了一阵,翻到了这个网站的一个上传页面,发现它没有做验证,任何人都可以上传图片文件,于是决定从这里入手。试着上传.asp文件,直接跳出对话框(图1)查看源文件,可以看出是用JavaScript在本地做了限制。(图2)
- 2009-02-23 09:57
- 浏览 1287
- 评论(0)
XMLHttpRequest层:Firebug
适用范围
Ajax应用程序
优点
使用方便,数据截取完整
缺点
只能分析XMLHttpRequest请求,其他类型的请求无能为力
Firebug应该是尽人皆知了。它的控制台能监视XMLHttpRequest请求,能看到完整的请求和应答的数据。用它来调试Ajax程序是最好不过了。
HTTP层:Tamper Data
适用范围
普通网页,Ajax应用程序,Flash
优点
使用方便,适用范围广,任何HTTP请求都能截获
缺点
只能截获请求头、请求内容、应答头,得不到应答内容;涉及文件下载时效率大幅度降低
...
- 2009-02-23 09:45
- 浏览 1042
- 评论(0)
如果把Web通信从上到下分为许多层——XMLHttpRequest层,HTTP层,TCP层,那么这些工具可以分别抓取每个层的通信数据进行分析,结合使用极其强大。
XMLHttpRequest层:Firebug
适用范围 Ajax应用程序
优点 使用方便,数据截取完整
缺点 只能分析XMLHttpRequest请求,其他类型的请求无能为力
Firebug应该是尽人皆知了。它的控制台能监视XMLHttpRequest请求,能看到完整的请求和应答的数据。用它来调试Ajax程序是最好不过了。
HTTP层:Tamper Data
适用范围 普通网页,Ajax应用程序,Flash
优点 使用方 ...
- 2009-02-23 09:44
- 浏览 1118
- 评论(0)
正文:
给朋友帮忙检测一个jsp的站点,mysql数据库。已知存在注入点,用order by 猜出了字段是15个,其他就什么有用的信息都没暴出来。union查询的时候,字段数正确但不显示正常画面。
嘿嘿,别让错误信息给骗了,实际上还 ...
- 2009-02-22 19:01
- 浏览 932
- 评论(0)
入侵要点:
找到注入点
暴露网站页面绝对路径
利用mysql的load_file()读取网站配置信息找到管理后台
上传webshell
了解一下 Struts和.do :
首先了解一下什么是Struts。Struts是Apache基金会Jakarta项目组的一个Open Source项目,是一种优秀的J2EE MVC架构方式,它利用taglib获得可重用代码和抽象 Java 代码,利用ActionServlet配合Struts-config.xml实现对整个系统导航。增强了开发人员对系统的整体把握,提高了系统的可维护性和可扩充性。
Struts的核心是Controller,即Action ...
- 2009-02-22 18:57
- 浏览 1611
- 评论(1)
据统计,在所有黑客攻击事件中,SYN攻击是最常见又最容易被利用的一种攻击手法。相信很多人还记得2000年YAHOO网站遭受的攻击事例,当时黑客利用的就是简单而有效的SYN攻击,有些网络蠕虫病毒配合SYN攻击造成更大的破坏。本 ...
- 2009-02-22 15:45
- 浏览 1985
- 评论(0)
虽然在很多方面,JavaScript可用于改进您的网页并提高您的访问网站的效率,但是也有几件事的JavaScript不能做到的。其中的一些限制是由于该脚本浏览器窗口运行,因此无法访问服务器,而另一些则是出于安全性的考虑,以阻止 ...
./svn import /home/bak/285/ file:///home/svnroot/repository/test1 –m "test"
subversion/clients/cmdline/import-cmd.c:84: (apr_err=205000)
svn: 导入命令有太多参数
求解啊。
- 2009-02-20 15:21
- 浏览 1546
- 评论(0)
1.需要两个文件,httpd和subversion. httpd是web服务器,用来通过web访问subversion,httpd可以在apache官方网站上下载到 ,或在 http://www.bt285.cn http://www.5a520.cn 下载
2.新建一个用户:svnroot 最好不要让root用户参与到svn的权限管理和日常的运行和维护工作中来,但是下面的一些安装和配置操作还是 需要root用户来完成的,因为有些操作只有root才能做。权限问题很重要。曾经因为权限问题折腾了一天。
3.编译安装httpd (root用户操作):
//解压apache2安装包# tar xv ...
- 2009-02-20 15:16
- 浏览 1249
- 评论(0)
以前一直不太会用这个参数。现在认真研究了一下iostat,因为刚好有台重要的服务器压力高,所以放上来分析一下.下面这台就是IO有压力过大的服务器
# iostat -x 1 10Linux 2.6.18-92.el5xen 02/03/2009
avg-cpu: %user %nice %system %iowait %steal %idle 1.10 0.00 4.82 39.54 0.07 54.46
Device: rrqm/s wrqm/s r/s w/s rsec/s wsec/s av ...
- 2009-02-11 11:38
- 浏览 4438
- 评论(0)