在上一篇文章《如何防范SQL注入-编程篇》中,我们讲了对于程序员而言,如何编码以防范代码存在SQL注入漏洞,那么,对于测试人员来说,如何测试SQL注入漏洞是否存在呢? 首先,我们将SQL注入攻击能分为以下三种类型: Inband:数据经由SQL代码注入的通道取出,这是最直接的一种攻击,通过SQL.....
分类:
数据库 时间:
2015-04-10 19:24:36
阅读次数:
200
原创 ziwen@beebeeto 转载请保留本行个人感觉 国外的安全方面对社工的了解和防范并不是很好 即使他们使用社工的时间比我们要长很多比如 他们的visa在pos机上使用是不需要密码的 而且经过验证的商家只需要你的VISA卡号就可以盗刷你的钱 连刷卡都不需要前一阵子在TDbank办了一张储蓄卡...
分类:
数据库 时间:
2015-04-03 17:02:40
阅读次数:
164
0x00
在CI框架中,获取get和post参数是使用了$this->input类中的get和post方法。
其中,如果get和post方法的第二个参数为true,则对输入的参数进行XSS过滤,注意只是XSS过滤,并不会对SQL注入进行有效的防范。
例子:
Controller中,定义一个shit方法,获取get数据:
指定了第二个参数为true:
(1)XSS测试...
分类:
数据库 时间:
2015-04-01 00:28:13
阅读次数:
410
Linux内核参数http://space.itpub.net/17283404/viewspace-694350net.ipv4.tcp_syncookies = 1表示开启SYN Cookies。当出现SYN等待队列溢出时,启用cookies来处理,可防范少量SYN攻击,默认为0,表示关闭;什么...
分类:
系统相关 时间:
2015-03-19 10:07:22
阅读次数:
175
作为PHP程序员,特别是新手,对于互联网的险恶总是知道的太少,对于外部的入侵有很多时候是素手无策的,他们根本不知道黑客是如何入侵的、提交入侵、上传漏洞、sql 注入、跨脚本攻击等等。 作为最基本的防范你需要...
分类:
Web程序 时间:
2015-03-18 16:09:52
阅读次数:
311
linux、mac的命令行下没有回收站功能,很多时候手一抖就把重要文件给 rm -fr * 了,虽然linux下有可能通过lost +found/debugfs找回,但难度也比较大,不能保证一定能够找回。人总是会犯错,本人工作这几年也犯过3次rm -fr删除后后悔的错误,与其后悔不如防范于未然,像桌面操作系统(windows、mac os、Ubuntu)一样加个回收站机制就可以了,经过几天的努力终...
分类:
系统相关 时间:
2015-03-16 16:31:09
阅读次数:
181
最近经常报出银行储值卡账户的钱莫名其妙不见了或者是卡在自己身上,却不断收到取款支付的短信。前段时间更报出一个17岁的少年黑客,破译了19万个银行账户资料,可提现金高达15亿。这是怎么做到的?个人应该怎样防范银行储值卡信息被盗?银行储值卡卡盗刷,一般犯罪嫌疑人是通过木马程序、钓鱼网站、电话诈骗或直接....
分类:
其他好文 时间:
2015-03-16 15:54:59
阅读次数:
125
加入现在有A、B两个站,A为友站,B为我站。希望判断使用从A站连来时,就把访问者拒绝在门外,只要用简单几行的javascript,就可抓到使用的来源,以及作出一些防范的措施。其实方法真的很简单,因此下次若各位也有遇到此问题时,也可试试看此方法,这边梅干是将它再把网页导回去,而各位也可多花点功夫,当判...
分类:
Web程序 时间:
2015-03-16 14:23:54
阅读次数:
169
防范DDOS攻击脚本#防止SYN攻击 轻量级预防iptables -N syn-flood iptables -A INPUT -p tcp --syn -j syn-flood iptables -I syn-flood -p tcp -m limit --limit 3/s --limit-bu...
分类:
其他好文 时间:
2015-03-12 16:39:03
阅读次数:
198
