- 博客(65)
- 收藏
- 关注
RSS订阅原创 数据库入侵方法
一般的web server都要使用数据库来存储信息,几乎所有的网站都要用数据库。这样就存在着两种可能,一种是使用小型数据库,如aceess,一般就储存在本地。另一种是使用大型数据库,如SQL server,Oracle这时候一般就放在另一台机器上,然后通过ODBC来访问它。 由于页面经常需要查询各种信息,修改用户信息等操作,实质上就是和数据库打交道了。这样就给非法用户留下利用的机会了。 1.对本地
2005-03-08 21:40:00
6940
1
原创 DVBBS7.0 ---幕后的微笑
动网论坛7.0自从发布以来进一步扩大了其在asp论坛领域的声誉和好评,无论是在美工、性能、安全性和效率上都比上一个版本有了很大的进步。在读代码的时候给我的唯一感觉就是——美。但是世上没有不透风的墙啊,代码写得再严谨也是会有疏忽的时候。为了找出它的漏洞,我就像是大海捞针一样在茫茫的代码中寻觅,蓦然回首那人却在灯火阑珊处。请跟着我来看一看吧。第一篇 发现新大陆CODE 打开AccessTopic.a
2005-03-08 20:34:00
1645
原创 SQL Server应用程序中的高级SQL注入
摘要:这份文档是详细讨论SQL注入技术,它适应于比较流行的IIS+ASP+SQLSERVER平台。它讨论了哪些SQL语句能通过各种各样的方法注入到应用程序中,并且记录与攻击相关的数据确认和数据库锁定。这份文档的预期读者为与数据库通信的WEB程序的开发者和那些扮演审核WEB应用程序的安全专家。介绍:SQL是一种用于关系数据库的结构化查询语言。它分为许多种,但大多数都松散地基于美国国家标准化组织最新的
2005-03-08 20:33:00
1281
原创 ASP+Access的安全隐患及对策
随着Internet的发展,Web技术日新月异。继通用网关接口(CGI)之后,“ASP”(Active Server Pages)作为一种典型的服务器端网页设计技术,被广泛地应用在网上银行、电子商务、搜索引擎等各种互联网应用中。同时Access数据库作为微软推出的以标准JET为引擎的桌面型数据库系统,由于具有操作简单、界面友好等特点,具有较大的用户群体。因此ASP+Access成为许多中小型网上应
2005-03-08 20:32:00
1601
1
原创 怪异的SQL注入
SQL注入以独特、新奇、变异的语句迎来了技术又一大突破,当然要针对奇、特这两方面作文章,要达到一出奇招,必达核心!那才是SQL注入技术的根本所在。长期以来,MS SQL以它强大的存储进程给我们带来了极大的方便,而如今注入技术主要依靠IIS出错与MS SQL系统提示信息来判断,那利用SELECT构造特殊语句,使系统出错来得到我们要的更深入的信息,如爆库、爆表等,能不能取得详细信息呢?答案是能,但必出
2005-03-08 20:30:00
1401
原创 动网论坛上传文件漏洞的原理以及攻击的代码实现
最近一段时间比较忙,没什么时间为组织做贡献(实在是没实力,呵呵).刚好前一段时间听小猪(猪蛋儿的《目前流行的BBS安全性比较》一文请参阅:http://wvw.ttian.net/forum/viewtopic.php?id=269)说动网论坛出了一个上传任意文件的漏洞,当时没怎么明白.但是我看到最近NB论坛上全部都在讨论有关这方面的问题,就研究了一下,发现这个漏洞确实存在,而且非常严重,用小猪的
2005-03-08 19:45:00
1630
原创 SQL注入天书 - ASP注入漏洞全接触
随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。 SQL注入是从正常的WWW端口访问,
2005-03-08 19:44:00
1028
原创 一个学校的网站安全性测试
本文作者:angel文章性质:原创发布日期:2004-04-02 前言 我自从在学校维护学生会网站以后,就有了不小的权限,我只要上传一个“海阳顶端网ASP木马”就可以任意修改任何web页面了,因为学校里所有的站点都放在http://www.nothing.com/里面,不过我可不敢这样做,也不会这样做。最近学习ASP挺上瘾,就看看学校自己写的ASP程序有什么隐患吧。 问题一 除了前台只有少
2005-01-11 21:49:00
3426
原创 动网论坛7.0获得WebShell的分析
本文作者:angel文章性质:原创发布日期:2004-06-27 发现:Super·Hei 分析:angel 环境/讨论:xiaolu 起哄:knife 前言 Super·Hei和我提起《Backup a shell》这篇文章,就和我说,按照这个文章的方法,有没有办法拿到动网论坛上利用,因为DVBBS7.0即使设置允许上传asp文件,实际上也是无法上传的,既然能够去后台设置允许上传文件类型
2005-01-11 21:44:00
1769
1
原创 改mdb为asp所带来的灾难
本文作者:SuperHei·Lilo文章性质:原创发布日期:2004-09-16 可能是随着网络安全技术的发展吧,管理员的素质都在提高,在使用access+asp系统时,为不数据库被人下载,到把mdb改为asp或asa。先不说直接改后缀,直接可以用网快等工具直接下载,其实这样你已经是为入侵者打开了大门。入侵者可以利用asp/asa为后缀的数据库直接得到webshell。一.思路 大家都知
2005-01-11 21:40:00
1413
1
原创 XML轻松学习手册(5)XML实例解析
提纲: 一:实例效果 二:实例解析 1.定义新标识。 2.建立XML文档。 3.建立相应的HTML文件。 XML在不同领域有着广泛的应用,比如在科技领域的MathML,无线通信应用的WML,在网络图象方面的SVG等等,我们这里侧重讨论XML在web上的应用。XML在web上应用主要是利用其强大的数据操作能力。一般用XML配合javascript和asp等服务器端程序,可以实现网络上几乎所有
2005-01-11 21:38:00
1435
2
原创 XML卷之实战锦囊(4):选单连动
动机: 现在我们做个在IE里应用XML的一个小例子:解决双下拉选单的连动问题。大家最常见的可能就是选取省份后改变城市选项的例子了,那我们就来尝试着用XML来完成吧。 以前介绍的一些功能我是直接用XML+XSL文件来完成的,大家可能还不是很熟悉它的用法,所以我这次就用HMTL+XML来做,希望能够让大家更清楚的了解--“XML原来可以如此简单!”:) 材料: XML卷之选单连动有2个文件:Cit
2005-01-11 21:35:00
1463
2
原创 XML卷之实战锦囊(3):动态分页
动机: 为了方便用户查看大批量数据,我们会用到动态分页,因此分页功能是我们在网站上见过的最普遍也是最常用的一个功能模块了。而以往的信息分页都是连接到数据库的,每一次点击都必须要后台数据库的支持。这样不但服务器的负担加重,而且严重的影响用户浏览的速度.试想,如果把分页的功能放到客户端,那会产生什么样的效果呢?呵呵,看看下面的设计吧! 材料: XML卷之动态分页有2个文件:pages.xml 和
2005-01-11 21:33:00
1217
原创 XML卷之实战锦囊(2):动态查询
动机: 查询功能是我们在网站上见过的最普遍也是最常用的一个功能模块了。以往的信息查询都是连接到数据库的,每一次点击都必须要后台数据库的支持。然而很多情况下用户往往只针对某一部分的数据进行操作,这样不但服务器的负担加重,而且严重的影响用户浏览的速度。 针对这种情况我们需要将用户需要的某一部分数据以XML的方式传递到客户端,用户对这些数据可以很方便的进行操作。既方便了用户,又减轻了服务器数据库的负
2005-01-11 21:31:00
1186
原创 XML卷之实战锦囊(1):动态排序
动机: 排序功能让我们页面上的数据显的更人性化,是我们在网站上见过的很普遍的一个功能效果了。以往的自动排序都是用大量的脚本代码来完成的,对一般的爱好者来说这是件困难的事情。然而用XML来处理的话就简单多了。让自己的页面更加绚丽,哈哈,您是不是也心动了呢! 材料: XML卷之动态排序有2个文件:paixu.xml 和 paixu.xsl 作用: 在不刷新页面的情况下更据用户自己的需要对数据重新进
2005-01-11 21:30:00
1312
原创 ASP常用的代码(不断更新)
1.获得系统时间:2.取得来访用的IP:3.获得系统,浏览器版本:window.document.write("版本:"+navigator.appName+navigator.appVersion+" browser.")4.去除IE混动条: 5.进入网站,跳出广告:window.open(http://www.XXXXXX.com,,height=200,width=300
2005-01-11 21:29:00
1326
原创 DDoS攻击全面剖析
综观网络安全攻击的各种方式方法,其中DDoS类的攻击会给你的网络系统造成更大的危害。因此,了解DDoS,了解它的工作原理及防范措施,是一个计算机网络安全技术人员应必修的内容之一。 一、DDoS的概念 要想理解DDoS的概念,我们就必须先介绍一下DoS(拒绝服务),DoS的英文全称是Denial of Service,也就是"拒绝服务"的意思。从网络攻击的各种方法和所产生的破坏情况来看,DoS算
2005-01-11 21:26:00
1826
原创 SQL注入入门文章
如果你以前没试过SQL注入的话,那么第一步先把IE菜单=>工具=>Internet选项=>高级=>显示友好 HTTP 错误信息前面的勾去掉。否则,不论服务器返回什么错误,IE都只显示为HTTP 500服务器错误,不能获得更多的提示信息。 第一节、SQL注入原理 以下我们从一个网站www.19cn.com开始(注:本文发表前已征得该站站长同意,大部分都是真实数据)。 在网站首页上,有名为"IE不
2005-01-11 21:25:00
1034
转载 [转贴]ipc$详细解释大全
网上关于ipc$入侵的文章可谓多如牛毛,而且也不乏优秀之作,攻击步骤甚至可以说已经成为经典的模式,因此也没人愿意再把这已经成为定式的东西拿出来摆弄。不过话虽这样说,但我个人认为这些文章讲解的并不详细,对于第一次接触ipc$的菜鸟来说,简单的罗列步骤并不能解答他们的种种迷惑(你随便找一个hack论坛搜一下ipc$,看看存在的疑惑有多少)。因此我参考了网上的一些资料,教程以及论坛帖子,写了这篇总结性质
2005-01-11 21:23:00
1124
原创 META标签的作用
META标签,是HTML语言HEAD区的一个辅助性标签。在几乎所有的page里,我们都可以看到类似下面这段html代码: <head> <meta http-equiv="Content-Type" content="text/html; charset=gb2312"> </head> 这就是META标签的典型应用,标识page所采用的编码类型。根据HTML语言标准注释:META标签
2005-01-11 21:21:00
1221
原创 ASP语法大全(随时更新)
语句Call[call] name [argumentlist]把控制转移到函数或子程序。当调用函数或子程序时,Call是可写可不写的。但是如果你用了Call,那么argumentlist必须用括号括起来。Const[Public | Private] Const constantname=expression用于申明常数。你可以在一行里申明多个常数,此时你必须用逗号把常数赋值语句隔开。DimDi
2005-01-11 21:20:00
1544
原创 再谈SQL注入入侵动网SQL版
编辑前言: 这个文章我没有测试,但前提条件还是很多,比如一定要有别的程序存在,而且也要用同一个SQLSERVER库,还得假设有注入漏洞。说到底和动网没有什么关系,但因为动网论坛的开放性,让人熟悉了其数据库结构,和程序运作方法。在一步步的攻击中取得管理权限,再一步步的提升权限,如果正好数据库用的是SA帐号,就更是麻烦了。 正是由于这些条件的假设,所以大家也不用太紧张,这里提供的是很多理想状态下的
2005-01-11 21:18:00
45371
原创 Asp常见问题(新手)
1、问题:ASP是一种编程语言吗? 答:ASP不是编程语言,而是一种开发环境。ASP提供了一个在服务器端执行指令的环境,它利用了特殊的符号()来区分HTML与必须经过服务器翻译才能送往客户端的命令。它可以执行的指令包括HTML语言, Microsoft VBScript和 Microsoft Jscript等,因此可以制作出功能强大的Web应用程序。 2、问题:在Web服务器上
2005-01-11 21:16:00
13242
原创 实例演练ASP+XML编程
文是一篇实例讲解的文章。作为一个普通的程序员,我深知,一个优秀的例程,对于正在学习编程的人是多么的有帮助。本文中使用的例程,是一个联系信息管理程序,我也是写来以方便自己和朋友们互相联系用的。但麻雀虽小,五脏俱全,相信对正在学习ASP+XML编程的朋友们,还是具备一定的参考价值的。读者可以通过此实例,了解在ASP(Active Server Page)中如何操纵XML文件,并进行数据的各种处理,
2005-01-11 21:14:00
1773
原创 ASP操作XML数据小结
NO.1--建立一个XML数据库data.xml caca 154222225 [email protected] NO.2--建立对象CreateObject 建立data.xml的对象先 set xmldoc=server.createobjce
2005-01-11 21:12:00
917
原创 ASP操作XML文件的完整实例
---------------------------------------------------------------- 程序简介: 完成asp语言对XML文档中指定节点文本的增加、删除、修改、查看 入口参数: 无 出口参数: 无 ------------------------------------------------ 函数名字:ConnectXml() 入口参数:
2005-01-11 21:11:00
934
原创 如何寻找WEB程序漏洞,及如何利用和防范
网络安全是一个非常流行的话题,不论是这方面的专家还是一个普通人,都或多或少涉及其中。在此环境下,入侵也变得前所未有的活跃。每个人都想成为这领域的高手。入侵分几个方面,现在以SQL注入和溢出最为流行。我在此浅谈一下SQL注入的相关问题。 其实SQL注入和溢出有异曲同工之妙,都是利用不按正常思维来达到入侵的目的。简单的说就是程序作者想得没有入侵者想得全面,不乏有些作者水平很高,但想投机取巧。SQL注
2005-01-11 21:07:00
3979
1
原创 ASP开发中可能遇到的错误信息中文说明大全(整理收集)
如果你搞过ASP的开发,你就会为ASP中没有好的完整的调试环境而头疼不己。我收集了网上相关所有信息提示,想给它做成单机的ASP开发错误提示软件中的数据库,但是我发现应该还有些是我所不清楚或说是了解的。所以放在这里,请知道的朋友再次提出你的观点或说更详细的信息,我将非常感激!如果有好的建议,如果软件出来后,我将首先免费送给您尝试使用! 再次希望看到这个文章的朋友们,能够支持和鼓励我做这个东西!(反
2005-01-11 21:06:00
4867
原创 IIS 错误代码大汇总
400 无法解析此请求。 401.1 未经授权:访问由于凭据无效被拒绝。401.2 未经授权: 访问由于服务器配置倾向使用替代身份验证方法而被拒绝。 401.3 未经授权:访问由于 ACL 对所请求资源的设置被拒绝。 401.4 未经授权:Web 服务器上安装的筛选器授权失败。 401.5 未经授权:ISAPI/CGI 应用程序授权失败。 401.7 未经授权:由于 Web 服务器上的 URL 授
2005-01-11 21:03:00
2486
原创 网页媒体播放器代码详解
页媒体播放器代码详解网页上的播放器我想大家都用过吧我只加入相关说明 希望对大家有帮助(默认0为否,-1或1为是)程序代码:[ 复制代码到剪贴板 ]
2005-01-11 20:58:00
947
原创 微软的应试题完整版(附答案)
网上有不少Microsoft的测试题,引来不少的眼光。在这里把所有的测试题加以整理,再附上答案。(个别题目答案有多种,文本仅代表作者的思路)每道题的后面会给出一个时间。这个时间是作者做出该题所用的时间。(注意,这不是什么标准时间,相信所有浏览本试卷的朋友都会在某一道或多道题上找到灵感,迅速解题的)题目答案不断更新中,最近更新时间为:2005年1月9日一.最基本题型(说明:此类题型比较简单)1.烧一
2005-01-11 20:47:00
842
原创 若干笑话故事
一、 用人之道 去过庙的人都知道,一进庙门,首先是弥陀佛,笑脸迎客,而在他的北面,则是黑口黑脸的韦陀。但相传在很久以前,他们并不在同一个庙里,而是分别掌管不同的庙。 弥乐佛热情快乐,所以来的人非常多,但他什么都不在乎,丢三拉四,没有好好的管理账务,所以依然入不敷出。而韦陀虽然管账是一把好手,但成天阴着个脸,太过严肃,搞得人越来越少,最后香火断绝。 佛祖在查香火的时候发现了这
2005-01-11 20:39:00
968
原创 2005精品书籍下载地址
2005精品书籍-go go go VC++书藉 MFC中文帮助 下载 VC++编程资料 下载 ADO程序员参考 下载 有关ADO的四篇文章 下载 C#初学者入门文档 下载 Visual C++程序设计指南 下载这是一本很好的VC++入门本,详细地介绍了VC++的基本概念,包括以下内容:Windows编程和面向对象技术,使用Visual C++ 5.0,
2005-01-11 18:04:00
1318
原创 ASP中有关双引号,单引号以及&号的解释
很多ASP初学习的朋友都有可能在双引号,单引号以及&号上迷失了方向。最关键的是不理解三类符号的意思,当然也就不能很好地掌握它们的用法了。以下是我对三类符号的看法,技术不精,难免有疏忽之处,肯请大家多提意见。1,双引号""ASP中处在双引号中的可以是任意的字符、字符串,HTML代码。比如cnbruce here")%>产生的页面效果分别是:默认文字和加粗文字“cnbruce here
2005-01-11 17:02:00
1880
1
原创 无组件上传图片之文件采用方案
首先,图片在页面中能查找选择。设计表单页面index.asp和上传选择页upload.asp,upload.asp在index.asp中以iframe包含。其次,所选图片应能上传到某文件夹。建立一文件夹uploadimg最后,传上去的图片应如何引用?很显然,采用UBB立即显示。upload.asp的指向对象upfile.asp具有写入UBB标签的功能。图片上传采用稻香老农的无组件上传。
2005-01-11 16:58:00
11884
原创 ASP应用之模板采用
初学ASP,程序是能勉强写出来了,但若每进行一次网站页面的改版,所有的源程序都将进行一次移植手术。为此所耗费的人力精力不计其数,甚至一不小心得不偿失、前功尽弃。所以,梦想着那么大段的程序代码变成几个简单的字符代替,这样只要设计好页面把该功能插入就OK了。其实这也简单,只需将实现该功能的程序代码做成子程序,然后主页调用就可以了。很多时候,在博客中国,你会选择到很多的模板,甚至有可能自己来
2005-01-11 16:57:00
798
原创 ASP应用中的应用函数
1,经常写些系统,那么一般都是从登录程序开始,每接一个系统就写一次登录,好麻烦。干脆直接做个登录验证函数吧,对我来说,大都情况可以胜任了:)Function chk_regist(requestname,requestpwd,tablename,namefield,pwdfield,reurl)dim cn_name,cn_pwdcn_name=trim(request
2005-01-11 16:55:00
664
转载 论Asp与XML的关系(ZT)
1、XML 是什么?XML仅仅是一种数据存放格式,这种格式是一种文本(虽然XML规范中也提供了存放二进制数据的解决方案)。事实上有很多文本格式都可以用来存放数据,例如大家所熟悉的.ini文件。很多朋友在初学C语言或者Basic语言的时候,有时可能需要将源数据或者最终结果存放在一个文本文件里面,存放的格式当然由编写程序的人自己定了,那么在编写这个程序的过程中,编程者就自创了一种自定义的数据格式。XM
2005-01-11 16:51:00
627
原创 ASP常用函数收藏
*******************************************************************取得IP地址*******************************************************************Function Userip() Dim GetClientIP 如果客户端用了代理服务器,则应该
2005-01-11 16:50:00
769
原创 ASP中使用存储过程
学习使用存储过程(Stored Procedure),是ASP程序员的必须课之一。所有的大型数据库都支持存储过程,比如Oracle、MS SQL等,(但MS Access不支持,不过,在Access里可以使用参数化的查询)。存储过程是利用SQL Server所提供的Tranact-SQL语言所编写的程序。Tranact-SQL语言是SQL Server提供专为设计数据库应用程序的语言,它是应用程序
2005-01-11 16:48:00
1266
空空如也
空空如也
TA创建的收藏夹 TA关注的收藏夹
TA关注的人