1、ip验证
2、操作日志、安全日志、登录日志
3、SQL注入校验
4、权限管理
5、验证规范(前端、后端、数据库约束)...
分类:
Web程序 时间:
2014-10-29 09:15:33
阅读次数:
242
原文:http://www.cnblogs.com/aito/archive/2010/08/25/1808569.html避免SQL注入的方法有两种:一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,...
分类:
数据库 时间:
2014-10-24 01:39:04
阅读次数:
273
在登录网站后台时,有一个比较古老的“万能密码”漏洞,即利用一个我们精心构造的用户名,即使不用输入密码,也可以登录后台,其原理仍属于SQL注入的范畴。假设数据库中存放用户信息的表是admin,其中存放用户名的字段是username,存放密码的字段是password,在用户验证页面中..
分类:
Web程序 时间:
2014-10-22 10:13:55
阅读次数:
320
受影响系统:TYPO3 JobControl描述:--------------------------------------------------------------------------------BUGTRAQ ID: 70145CVE(CAN) ID: CVE-2014-5324Ty...
分类:
数据库 时间:
2014-10-22 00:38:24
阅读次数:
239
Web应用安全网关简称WAF(WebApplicationFirewall),该设备致力于解决Web网站的安全问题,能够实时识别和防护多种针对Web的应用层攻击,例如SQL注入、XSS跨站脚本、非法目录遍历等。WAF设备一般部署于web服务器前端,外接防火墙,所有进入内部网络的流量必经过防火墙,而所有..
分类:
其他好文 时间:
2014-10-21 19:59:50
阅读次数:
366
有意迟几天放出来这篇文章以及程序,不过看样子Drupal的这个洞没有引起多少重视,所以我也没有必要按着不发了,不过说实话这个洞威力挺大的,当然,这也是Drupal本身没有意料到的。
0x00
首先,这个漏洞真的很大,而且Drupal用的也比较多,应该可以扫出很多漏洞主机,但是做批量可能会对对方网站造成很大的损失,所以我也就只是写个Exp。不过,这个洞好像不怎么被重视,这也是极为不合适。...
分类:
数据库 时间:
2014-10-21 17:43:59
阅读次数:
347
0x00
在\includes\modules\payment\alipay.php文件中,有一个response函数用来处理支付信息,在ECSHOP的init初始化文件中,默认是做了全局转义的,而这个漏洞的精髓在于绕过全局转义。
在$order_sn = str_replace($_GET['subject'], '', $_GET['out_trade_no']);...
分类:
数据库 时间:
2014-10-21 13:53:51
阅读次数:
311
漏洞扫描方式主要分为静态和动态,静态扫描的漏洞类型主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误等。动态扫描的漏洞类型主要包含拒绝服务攻击、文件目录遍历漏洞、file跨域访问等。
分类:
移动开发 时间:
2014-10-18 16:55:20
阅读次数:
193
漏洞扫描方式主要分为静态和动态,静态扫描的漏洞类型主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误等。动态扫描的漏洞类型主要包含拒绝服务攻击、文件目录遍历漏...
分类:
移动开发 时间:
2014-10-18 12:47:35
阅读次数:
208
针对sql注入特征编写的sql防注入脚本visql.sh#!/bin/bashselect_union(){date=`date+%F\(%H:%M:%S\)`keyword=`grep-E‘select‘./access.log|grep-E‘union‘|awk‘{print$1}‘|sort|uniq`foriin$keyworddogrep‘\<‘$i‘\>‘ip.list&>/dev/null###白名单列表if[$?-eq0]then..
分类:
数据库 时间:
2014-10-17 18:58:25
阅读次数:
136