各种脚本的万能密码

优先级:NOT > AND > OR 导致注入漏洞可以饶过sql判断语句,直接进入后台。

标签:

Web安全工具大汇聚

SPI Dynamics (live) – http://zero.webappsecurity.com/
Cenzic (live) – http://crackme.cenzic.com/
Watchfire (live) – http://demo.testfire.net/
Acunetix (live) – http://testphp.acunetix.com/ http://testasp.acunetix.com http://testaspnet.acunetix.com
WebMaven / Buggy Bank – http://www.mavensecurity.com/webmaven
Foundstone SASS tools – http://www.foundstone.com/us/resources-free-tools.asp
Updated HackmeBank – http://www.o2-ounceopen.com/technical-info/2008/12/8/updated-version-of-hacmebank.html
OWASP WebGoat – http://www.owasp.org/index.php/OWASP_WebGoat_Project
OWASP SiteGenerator – http://www.owasp.org/index.php/Owasp_SiteGenerator
Stanford SecuriBench – http://suif.stanford.edu/~livshits/securibench/
SecuriBench Micro – http://suif.stanford.edu/~livshits/work/securibench-micro/

标签:

Mysql身份认证漏洞及利用(CVE-2012-2122)

来自:FreebuF

当连接MariaDB/MySQL时,输入的密码会与期望的正确密码比较,由于不正确的处理,会导致即便是memcmp()返回一个非零值,也会使MySQL认为两个密码是相同的。
也就是说只要知道用户名,不断尝试就能够直接登入SQL数据库。按照公告说法大约256次就能够蒙对一次。而且漏洞利用工具已经出现。

标签:

谈点个人入侵网站的经验: 转自oldjun博客

这一年变化比较大,换了好几个工作,最终还是回到了安全的岗位,合乎自己的职业规划!

标签:

WebApp漏洞引起的数据库负载异常分析

教务系统是一个使用规律性特别强的应用系统,常见的系统负载高峰出现在学生集中选课等短时间的高并发情境中。笔者面对的这一教务系统应用3年来,还会在学期末教师录入学生考试成绩期间出现较高的负载,这一现象由于过去一直存在,因此并未引起注意。然而,时间到了这一学期末,整个系统从C/S到B/S都出现了严重的反映迟缓,尤其C/S客户端,平时一个1秒左右就能显示的操作结果或菜单,需要五秒甚至十多秒才能显示,这一异常极大的挑战了使用者耐心的极限和信息化管理的效率,不得不立即采取应对措施来缓解持续的高负载带来的系统使用困境。

标签:

在网上找到的一段web版md5加密函数

小王前段时间在看md5方面的技术,在网上找到的一段web版md5加密函数,一直放在桌面上,传上来以后可能会用到。

标签:

发现个漏洞,影响比较大

小王在进行一些测试中发现一个漏洞,这个漏洞是北京某公司开发的web软件中的,有些大网站在使用这个软件,有IT门户,有著名安全软件公司,香港某著名网站,非注入、跨站等,入侵者可获得目标ID权限,今天看到有人问个MD5密文,明文与这个漏洞有关,可能有人也发现了。

标签:

Web安全开发注意事项

1.sql注入:这个很常规了,不要拼字符串以及过滤关键字都可以防住,需要注意的是,Cookie提交的参数也是可以导致注入漏洞的。

标签:

警惕XSS漏洞

刚才在群里看到有网友问跨站漏洞,小王想起以前写过一篇这样的文章,投稿给了网管员世界,到网上搜索了一下,转到这里吧。

标签:

如何关闭SNMP功能

最近小王在测试网络设备的安全性,发现网上不少设备都开启的snmp功能,用SolarWinds可以获得不少敏感信息,如果不需要就把这个功能关了吧。

标签: