转自腾讯博文作者:TSRC白帽子发布日期:2014-09-03阅读次数:1338博文内容:博文作者:lol [TSRC 白帽子]第二作者:Conqu3r、花开若相惜来自团队:[Pax.Mac Team] 应邀参加TSRC WAF防御绕过挑战赛,由于之前曾经和Team小伙伴一起参加过安全宝WAF挑战,...
分类:
数据库 时间:
2014-11-02 00:30:13
阅读次数:
305
在之前的博文中曾介绍过如何对ASP网站进行手工注入,ASP网站大都是采用ACCESS或MSSQL数据库,因而所谓针对ASP的SQL注入其实也就是根据ACCESS或MSSQL数据库的特点来构造查询语句。除此之外,对于PHP网站则大都是采用MySQL数据库,这里要进行手工注入时所使用的查询语句与之前就..
分类:
数据库 时间:
2014-11-01 12:04:28
阅读次数:
325
ModSecurity是一个入侵探测与阻止的引擎,它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙.它可以作为Apache Web服务器的一个模块或单独的应用程序来运行。ModSecurity的目的是为增强Web应用程序的安全性和保护Web应用程序避免遭受来自已知与未知的攻击。本文主要介...
分类:
数据库 时间:
2014-10-31 20:38:21
阅读次数:
472
作者:bystander博客:http://leaver.me论坛:法克论坛目录1.大小写绕过2.简单编码绕过3.注释绕过4.分隔重写绕过5.Http参数污染(HPP)6.使用逻辑运算符or /and绕过7.比较操作符替换8.同功能函数替换9.盲注无需or和and10.加括号11.缓冲区溢出绕过1....
分类:
数据库 时间:
2014-10-31 15:27:49
阅读次数:
307
前言
上一篇文章写了关于 WEB 安全方面的实战,主要是解决 SQL 盲注的安全漏洞。这篇文章本来是要写一篇关于如何防治 XSS 攻击的,但是想来想去,还是决定先从理论上认识一下 XSS 吧。下一篇文章,再深入研究如何防治的问题。
概念
到底什么是 XSS 攻击呢?XSS 攻击,全称是“跨站点脚本攻击”(Cross Site Scripting),之所以缩写为...
分类:
Web程序 时间:
2014-10-30 17:10:44
阅读次数:
250
前言
好长时间没有写过东西了,不是不想写,只不过是一直静不下心来写点东西。当然,拖了这么长的时间,也总该写点什么的。最近刚刚上手安全方面的东西,作为一个菜鸟,也本着学习的目的,就谈谈最近接触到的安全方面的问题吧。
背景
既然提到了背景,那我们就简单的带一下,最近互联网上爆出了各种惊人的事件、各种门、各种照的,归根结底,都是网络安全出的问题,有的是网络被别人监控...
分类:
数据库 时间:
2014-10-30 11:51:04
阅读次数:
423
naxsi简介naxsi 是一个nginx 防病毒,防跨站,sql 注入的一个模块。nginx的一个waf ,应用防火墙。非常好配置。naxsi 安装naxsi 在debina/ubuntu 上是直接被支持的,也就是说你只需要 apt-get 即可。apt-get install nginx-nax...
分类:
其他好文 时间:
2014-10-29 19:14:38
阅读次数:
200
转自:http://hi.baidu.com/zh2089/item/819d2373d7834728d7a89c9eHRay注:虽然注入一直在谈,不过真正算得上精通的又能有多少人,一篇盲注的文章,转载过来,方便自己,也希望对大家有帮助之前的博文已经提到过基于时间差的注入攻击,其实利用正则表达式进行...
分类:
数据库 时间:
2014-10-29 18:47:43
阅读次数:
159
最近在linux装了新的环境,php5.6+mysql5.5+nginx。然后用原来的mysql链接数据库出现的错误。
原因就是说连接数据库的方法太旧。建议我用mysqli和PDO来链接数据库。
好吧,咱也不能落后,使用mysqli的确也简单了不少,但是PDO貌似更简单。效率也会得到提升。根据官方文档,貌似对于sql注入的一些风险也做了屏蔽。所以今天写的 博客就是关于php用PDO连接mysql的一些介绍啦!...
分类:
数据库 时间:
2014-10-29 10:53:39
阅读次数:
290
1、ip验证
2、操作日志、安全日志、登录日志
3、SQL注入校验
4、权限管理
5、验证规范(前端、后端、数据库约束)...
分类:
Web程序 时间:
2014-10-29 09:15:33
阅读次数:
242
