Web应用安全网关简称WAF(WebApplicationFirewall),该设备致力于解决Web网站的安全问题,能够实时识别和防护多种针对Web的应用层攻击,例如SQL注入、XSS跨站脚本、非法目录遍历等。WAF设备一般部署于web服务器前端,外接防火墙,所有进入内部网络的流量必经过防火墙,而所有..
分类:
其他好文 时间:
2014-10-21 19:59:50
阅读次数:
366
有意迟几天放出来这篇文章以及程序,不过看样子Drupal的这个洞没有引起多少重视,所以我也没有必要按着不发了,不过说实话这个洞威力挺大的,当然,这也是Drupal本身没有意料到的。
0x00
首先,这个漏洞真的很大,而且Drupal用的也比较多,应该可以扫出很多漏洞主机,但是做批量可能会对对方网站造成很大的损失,所以我也就只是写个Exp。不过,这个洞好像不怎么被重视,这也是极为不合适。...
分类:
数据库 时间:
2014-10-21 17:43:59
阅读次数:
347
0x00
在\includes\modules\payment\alipay.php文件中,有一个response函数用来处理支付信息,在ECSHOP的init初始化文件中,默认是做了全局转义的,而这个漏洞的精髓在于绕过全局转义。
在$order_sn = str_replace($_GET['subject'], '', $_GET['out_trade_no']);...
分类:
数据库 时间:
2014-10-21 13:53:51
阅读次数:
311
漏洞扫描方式主要分为静态和动态,静态扫描的漏洞类型主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误等。动态扫描的漏洞类型主要包含拒绝服务攻击、文件目录遍历漏洞、file跨域访问等。
分类:
移动开发 时间:
2014-10-18 16:55:20
阅读次数:
193
漏洞扫描方式主要分为静态和动态,静态扫描的漏洞类型主要包含SQL注入风险、webview系列、文件模式配置错误、https不校验证书、database配置错误等。动态扫描的漏洞类型主要包含拒绝服务攻击、文件目录遍历漏...
分类:
移动开发 时间:
2014-10-18 12:47:35
阅读次数:
208
针对sql注入特征编写的sql防注入脚本visql.sh#!/bin/bashselect_union(){date=`date+%F\(%H:%M:%S\)`keyword=`grep-E‘select‘./access.log|grep-E‘union‘|awk‘{print$1}‘|sort|uniq`foriin$keyworddogrep‘\<‘$i‘\>‘ip.list&>/dev/null###白名单列表if[$?-eq0]then..
分类:
数据库 时间:
2014-10-17 18:58:25
阅读次数:
136
这个漏洞昨天爆出的 ,今天才有时间看代码。
在Drupal中,执行sql语句都是使用PDO模型进行的,这样做一般来说是可以规避大多数的注入,因为占位符的使用对sql语句的语法进行了限制。
但是这也不意味着绝对的安全,比如这次的漏洞。
在Drupal的user模块中,找到user.module:
$account = db_query("SELECT * FROM {users} WHERE...
分类:
数据库 时间:
2014-10-17 15:31:02
阅读次数:
309
SQL 注入简介: SQL注入是最常见的攻击方式之一,它不是利用操作系统或其它系统的漏洞来实现攻击的,而是程序员因为没有做好判断,被不法用户钻了SQL的空子,下面我们先来看下什么是SQL注入: 比如在一个登陆界面,要求用户输入用户名和密码: 用户名: ' or 1=1 -- 密 码: 点登陆,如若没...
分类:
数据库 时间:
2014-10-16 18:40:42
阅读次数:
177
java防SQL注入,最简单的办法是杜绝SQL拼接,SQL注入攻击能得逞是因为在原有SQL语句中加入了新的逻辑,如果使用 PreparedStatement来代替Statement来执行SQL语句,其后只是输入参数,SQL注入攻击手段将无效,这是因为 PreparedStatement不允许在不同的...
分类:
数据库 时间:
2014-10-16 18:23:42
阅读次数:
238
今早有国外安全研究人员在Twitter上曝出了Drupal 7.31版本的最新SQL注入漏洞,并给出了利用测试的EXP代码。在本地搭建Drupal7.31的环境,经过测试,发现该利用代码可成功执行并在数据库中增加一个攻击者自定义的用户。测试代码:(请勿用于非法用途)POST/drupal-7.31/...
分类:
数据库 时间:
2014-10-16 15:32:22
阅读次数:
260
