1. android 4.0为了防止一些malware(恶意软件)不经用户启动就在后台运行,默认安装的程序在用户启动前是完全被系统忽略的,即使程序注册了广播,系统也不会给该程序传递广播。只有程序被用户运行过之后,消息广播才会生效。而且,即使程序已经运行过了,如果被用户Force Stop(强制停止)...
分类:
移动开发 时间:
2015-12-15 18:08:20
阅读次数:
319
程序开发人员通常会把可重复使用的函数写入到单个文件中,在使用某些函数时,直接调用此文件,而无需再次编写,这种调用文件的过程一般被称为包含。程序开发人员都希望代码更加灵活,所以通常会将被包含的文件设置为变量,用来进行动态调用,但正是由于这种灵活性,从而导致客..
分类:
其他好文 时间:
2015-12-15 10:32:52
阅读次数:
167
下面我们利用Burpsuite的Intruder模块来对密码进行暴力破解。首先输入用户名admin,输入随意密码,比如123,然后对数据包进行拦截。将拦截到的数据包“SendtoIntruder”,然后在Position选项中设置需要破解的变量。Burpsuite会自动设置许多变量,单击“Clear”按钮,把默认变量..
分类:
其他好文 时间:
2015-12-14 12:38:49
阅读次数:
195
之前已经分析过了low级别的BruteForce代码,下面再分别分析一下medium和high级别的代码。medium级别代码:很明显就可以看到medium和low级别的区别,在这里对负责接收用户参数的变量$user和$pass进行了过滤,过滤的方法仍然是使用mysql_real_escape_string()函数。这样密码绕过..
分类:
其他好文 时间:
2015-12-14 12:37:45
阅读次数:
157
(一)IIS Noinput file specified方法一:改PHP.ini中的doc_root行,打开ini文件注释掉此行,然后重启IIS方法二:请修改php.ini找到; cgi.force_redirect = 1去掉前面分号,把后面的1改为0即cgi.force_redirect = ...
分类:
其他好文 时间:
2015-12-12 23:13:36
阅读次数:
276
3DES(或称为Triple DES)是三重数据加密算法(TDEA,Triple Data Encryption Algorithm)块密码的通称。它相当于是对每个数据块应用三次DES加密算法。由于计算机运算能力的增强,原版DES密码的密钥长度变得容易被暴力破解;3DES即是设计用来提供一种相对简单...
分类:
移动开发 时间:
2015-12-11 20:31:05
阅读次数:
228
【实验原理】1)利用X-Scan工具进行:2)漏洞扫描:IPC、RPC、POP3、FTP、TELNET、WEB3)暴力破解:FTP、POP3、HTTP【实验步骤】一、设置X-Scan参数1.1在本机,打开运行界面进行设置,点击菜单栏设置中的参数设置进入参数设置界面1.2点击载入按钮可载入预先设置好的参数文件,另存..
分类:
其他好文 时间:
2015-12-11 18:58:29
阅读次数:
220
定时任务:db2.batdb2cmd -i -w db2_backup.bat exit db2_backup.batdb2 connect to TESTdb2 force applications alldb2stop forcedb2start db2 backup database sx.....
分类:
数据库 时间:
2015-12-11 15:10:08
阅读次数:
198
通用的命令执行漏洞防御方法通常是使用两个函数:EscapeShellCmd和EscapeShellArg,下面分别来分析这两个函数。EscapeShellCmd()函数可以把一个字符串中所有可能瞒过Shell而去执行另外一个命令的字符转义,比如管道符(|)、分号(;)、重定向(>)、从文件读入(<)等。..
分类:
其他好文 时间:
2015-12-11 13:22:19
阅读次数:
173
将DVWASecurity切换到high级别,在CommandExecution中查看网页源码。这里首先也是用stripslashes函数对获取到的IP地址进行了处理,主要是为了去掉转义后添加的斜杠,原因之前已经解释过,由于在high级别下会自动启用PHP的magic_quotes_gpc魔术引号,对所有的传值数据自动用adds..
分类:
其他好文 时间:
2015-12-10 11:30:37
阅读次数:
135
