码迷,mamicode.com
首页 >  
搜索关键字:sql注入    ( 2523个结果
web开发性能优化---安全篇
1、ip验证 2、操作日志、安全日志、登录日志 3、SQL注入校验 4、权限管理 5、验证规范(前端、后端、数据库约束)...
分类:Web程序   时间:2014-10-29 09:15:33    阅读次数:242
参数化SQL
原文:http://www.cnblogs.com/aito/archive/2010/08/25/1808569.html避免SQL注入的方法有两种:一是所有的SQL语句都存放在存储过程中,这样不但可以避免SQL注入,还能提高一些性能,并且存储过程可以由专门的数据库管理员(DBA)编写和集中管理,...
分类:数据库   时间:2014-10-24 01:39:04    阅读次数:273
网络安全系列之十 万能密码登录网站后台
在登录网站后台时,有一个比较古老的“万能密码”漏洞,即利用一个我们精心构造的用户名,即使不用输入密码,也可以登录后台,其原理仍属于SQL注入的范畴。假设数据库中存放用户信息的表是admin,其中存放用户名的字段是username,存放密码的字段是password,在用户验证页面中..
分类:Web程序   时间:2014-10-22 10:13:55    阅读次数:320
TYPO3 JobControl SQL注入及跨站脚本漏洞 -中国寒龙
受影响系统:TYPO3 JobControl描述:--------------------------------------------------------------------------------BUGTRAQ ID: 70145CVE(CAN) ID: CVE-2014-5324Ty...
分类:数据库   时间:2014-10-22 00:38:24    阅读次数:239
网络安全系列之九 WAF的基本配置
Web应用安全网关简称WAF(WebApplicationFirewall),该设备致力于解决Web网站的安全问题,能够实时识别和防护多种针对Web的应用层攻击,例如SQL注入、XSS跨站脚本、非法目录遍历等。WAF设备一般部署于web服务器前端,外接防火墙,所有进入内部网络的流量必经过防火墙,而所有..
分类:其他好文   时间:2014-10-21 19:59:50    阅读次数:366
Drupal 7.31 SQL注入漏洞利用详解及EXP
有意迟几天放出来这篇文章以及程序,不过看样子Drupal的这个洞没有引起多少重视,所以我也没有必要按着不发了,不过说实话这个洞威力挺大的,当然,这也是Drupal本身没有意料到的。 0x00 首先,这个漏洞真的很大,而且Drupal用的也比较多,应该可以扫出很多漏洞主机,但是做批量可能会对对方网站造成很大的损失,所以我也就只是写个Exp。不过,这个洞好像不怎么被重视,这也是极为不合适。...
分类:数据库   时间:2014-10-21 17:43:59    阅读次数:347
Ecshop支付宝插件SQL注入及漏洞利用(exp)
0x00 在\includes\modules\payment\alipay.php文件中,有一个response函数用来处理支付信息,在ECSHOP的init初始化文件中,默认是做了全局转义的,而这个漏洞的精髓在于绕过全局转义。 在$order_sn = str_replace($_GET['subject'], '', $_GET['out_trade_no']);...
分类:数据库   时间:2014-10-21 13:53:51    阅读次数:311
[经验交流] (最新)移动App应用安全漏洞分析报告 !
漏洞扫描方式主要分为静态和动态,静态扫描的漏洞类型主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误等。动态扫描的漏洞类型主要包含拒绝服务攻击、文件目录遍历漏洞、file跨域访问等。
分类:移动开发   时间:2014-10-18 16:55:20    阅读次数:193
(最新)移动App应用安全漏洞分析报告 !
漏洞扫描方式主要分为静态和动态,静态扫描的漏洞类型主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误等。动态扫描的漏洞类型主要包含拒绝服务攻击、文件目录遍历漏...
分类:移动开发   时间:2014-10-18 12:47:35    阅读次数:208
防SQL注入脚本
针对sql注入特征编写的sql防注入脚本visql.sh#!/bin/bashselect_union(){date=`date+%F\(%H:%M:%S\)`keyword=`grep-E‘select‘./access.log|grep-E‘union‘|awk‘{print$1}‘|sort|uniq`foriin$keyworddogrep‘\<‘$i‘\>‘ip.list&>/dev/null###白名单列表if[$?-eq0]then..
分类:数据库   时间:2014-10-17 18:58:25    阅读次数:136
© 2014 mamicode.com 版权所有  联系我们:gaon5@hotmail.com
迷上了代码!