小虎博客

on err resume next 补上不算漏洞的漏洞

on err resume next 补上不算漏洞的漏洞
准确来说,“%5c” 暴库法本身不是网页程序的漏洞,而是由于 IIS 解码特性所造成的,如果 IIS 安全设置不周全,而网页设计者未考虑 IIS 错误,就会被人利用。但是“conn.asp”暴库法,却是由于网页程序设计得失误所造成的漏洞了。 如何防范暴库漏洞呢?从程序设计者的角度来说,既然暴库是由于 IIS 出错信息造成的,那么只需要屏蔽出错信息即可。因此,可在“conn.asp”数据库连接文件中,添加如下一条语句: On ...
2013年01月07日 电脑知识 暂无评论 喜欢 0 阅读全文

绝对路径与相对路径

绝对路径与相对路径
“conn.asp暴库”是一个很古老的暴库技术,它是通过直接访问数据库连接文件 conn.asp 使服务器产生错误,通过服务器返回的错误信息提示报出数据库地址的。 要注意的是,这里所说的数据库连接文件“conn.asp”是在 ASP 程序中对数据库调用的一个文件。在“conn.asp”数据库连接文件中,包含有被调用的数据库路径及数据库名等,如调用的 SQL 数据库,则还会含有 SQL 连接用户名和密码等内容。当然,网站程序的数据...
2013年01月06日 电脑知识 暂无评论 喜欢 0 阅读全文

%5c暴库漏洞的几个总结

%5c暴库漏洞的几个总结

首先,要产生 %5c 暴库漏洞,必须要求访问的网页中有数据库调用。其原因是不言而喻的,只有数据库调用的页面,才会include包含数据库连接文件conn.asp。

另外,要求使用 %5c 解码提交的页面,至少为二级目录,也就是说,必须形如http://www.abc.com/2/*.asp

2013年01月05日 电脑知识 暂无评论 喜欢 0 阅读全文

数据库暴库入侵攻击漏洞

数据库暴库入侵攻击漏洞
对于一些网站,只需要把站点链接的最后一个“/”改为“%5c”,就能够暴露出网站的数据库地址。为什么会出现这样的奇怪情况呢? 在“conn.asp”文件中的几句数据库连接代码语句,看上去觉得并没什么问题,而且数据库的名字取得很怪,攻击者能猜到这样的数据库名几率几乎为零。但是将网页连接地址的“/”做一个小小的变换,改成“%5c”,由于 IE 浏览器的解码,将错误的网站路径传输给网站服务器,就可以通过返回的错误...
2013年01月04日 电脑知识 暂无评论 喜欢 4 阅读全文

手动解决开源程序安全隐患

手动解决开源程序安全隐患
安装网站程序,首先修改默认的数据库文件名或路径,这是网站安全的第一注意事项,那么该如何更改数据库文件名及路径,保证网站程序的正常运行呢? 1,修改数据库连接文件 入侵攻击者通过分析“conn.asp”文件,找到默认数据库文件名及路径的。其实,在许多网站程序中,都是通过“conn.asp”往往是约定俗称的网站数据库连接文件。大部分的网站程序,要修改默认数据库文件名及路径,通常都需要修改此文件。 用记...
2013年01月03日 电脑知识 暂无评论 喜欢 0 阅读全文

开源程序默认数据库名单

开源程序默认数据库名单
默认数据库下载,本身并不算一个程序漏洞,而是由于建站者或网站管理员缺乏安全意识所造成的,一个人为作用产生的漏洞。此漏洞不仅存在于动网论坛程序中,大量的开源网站程序中,都可能因为管理员的疏忽,而为攻击者留下数据库下载入侵的漏洞。 下面给出一张开源程序默认数据库名单,在此名单中,列表显示了大部分常见的网站程序数据库默认地址。各位网站管理员,可看看所使用的建站程序是否在其中,如果所...
2013年01月02日 电脑知识 暂无评论 喜欢 0 阅读全文

破解MD5加密的方法及工具

破解MD5加密的方法及工具
破解 MD5 密码的方法及工具很多,可以使用专门的暴力破解工具,也可以使用在线破解,甚至可以通过查看网站日志记录,从中截获密码。 1,MD5 密码暴破工具 攻击者常用的一个 MD5 密码暴力破解工具“MD5CrackV2.2”,它可以破解包括字母、数字、特殊字符的各种混合密码。 运行程序后,在“密码设置”中勾选“破解单个密文”,输入管理员密码密文。并设置要破解密码位数及密码中包含的字符类型,可设置为纯数字或纯...
2013年01月01日 电脑知识 暂无评论 喜欢 0 阅读全文

默认数据库下载漏洞

默认数据库下载漏洞
作为每一个网站管理员,都应该具备基本的网站安全意识和知识,其中,安全意识是很重要的一点。是否具备安全意识,往往不仅是寻找安全的网站程序,还需要去主动地发现网站程序中可能存在的安全漏洞。但是许多网站管理员,将所有安全工作都交给了网站程序,以图一劳永逸--这往往导致了潜伏的入侵攻击威胁。 模拟一个论坛搭建流程 下面,我们将模拟一个普通建站者的建站流程,看看缺乏安全意识的建站者是如何...
2012年12月31日 电脑知识 暂无评论 喜欢 0 阅读全文

攻击与安全的核心-Access数据库连接代码示例

攻击与安全的核心-Access数据库连接代码示例

上面的示例,是采用 ODBC 驱动程序连接 Access 数据库的。据微软表示,OLE DB 驱动程序的效率,比 ODBC 驱动程序更侍,因此有许多网站程序是采用DRIVER={Microsoft Access Driver(*mdb)},修改为Provider=Microsoft.Jet.OLEDB.4.0;,将 DBQ 改为 Data Source,即可实现 OLE DB 驱动连接 Access数据库。修改后的完整代码如下:

2012年12月30日 电脑知识 暂无评论 喜欢 0 阅读全文

29日寒冷的冬天

29日寒冷的冬天
今天天气很冷,清晨起床,外面的雪还是洁白如初,上班的路上,专踏着雪走,听着脚下咯吱咯吱的响,再加上寒冷的天气咄咄逼人,真有点小时候在老家时的那种感觉,这样的天气,在北京还是头一次遇到,此时不知道邯郸的天气怎样了?家里冷吗,一切都好么? 路上的车辆,行人,在这个早晨还是依旧匆匆忙忙,丝毫没有停下来的意思,虽然天气寒冷,公交车上的人群还是挤得满满得,都忙着开始一天新的生活,和以往...
2012年12月29日 网络文摘 暂无评论 喜欢 0 阅读全文

比较简单的过滤方法-SQL通用防注入程序

比较简单的过滤方法-SQL通用防注入程序
对于许多没有经验的程序设计师来说,手工进行过滤肯定是难免会留下过滤不严的漏洞,有一个比较简单而安全的方法,可以全面地对程序进行过滤,防止SQL脚本注入漏洞的产生。 可以在自己的程序中加入一个名为“SQL通用防注入程序 V3.1最终版”的程序过滤代码。只要经过简单的设置,这个程序就可以轻松地帮助建站者防范 SQL 注入。程序全面处理了通过 POST 和 GET 两种方式提交的注入,并且可以自定义需要过滤的...
2012年12月28日 电脑知识 暂无评论 喜欢 0 阅读全文

对于昨天年会的反思

对于昨天年会的反思
最近反思了很多问题,不管是出于什么事情,有时候想一想,人与人在一起待得久了也许是负担,要把握一个度真的很难,而我自己知道,其实我最怕就是被别人误解。 昨天公司年会,跟同事发生了一些分歧,后来,跟不同的朋友讨论这个问题,却发现每个人的观点都不一样,甚至可以说互相说服了对方。。。都是各说各有道理,不过这也可以看出来每个人看问题的侧重点不同,就像老板说的,每个人的性格不同,做事的方...
2012年12月27日 网络文摘 暂无评论 喜欢 0 阅读全文

开源,数据库路径暴露的简单介绍

开源,数据库路径暴露的简单介绍
直接开发一套网站源程序是非常费时费力的,许多建站者出于节约目的的考虑,往往会直接购买或下载一些免费的网站文章系统、论坛等源程序,再经过部分修改后使用。 由于网站的源程序是公开的,因此网站的核心数据库配置连接文件及路径等也是可知的,如果网管没有对源程序中的数据库文件名和文件路径进行修改的话,往往会存在着数据库暴露的安全危险。 普通网站程序使用的数据库通常有两种:一种是使用小型数...
2012年12月26日 电脑知识 暂无评论 喜欢 0 阅读全文

甘苦人生-想写点什么了

甘苦人生-想写点什么了
这两天的心事挺重,快要到年底了,工作上的事情,私人的事情,越来越多,可能是我这个年龄段的人都会有我这种有时不知何去何从,有的时候又觉得凡事无所不能理解,凡事无所值得依恋的心理迷茫,心里的心结越来越重。总感觉是一种比较变态的心理,不知道回归正常的心态还有多远,也可能是青春期的忧郁症吧, 明天就要开公司年会了,今天却一点精神也打不起来,我想可能是源于对某件事情耿耿于怀吧,凡事想开...
2012年12月25日 网络文摘 暂无评论 喜欢 0 阅读全文

301重定向进行URL标准化设置(ASP,ASP.NET,PHP)

301重定向进行URL标准化设置(ASP,ASP.NET,PHP)
301永久重定向:这是SEO中的一个基础名词,在URL规范化中会用到,也许大家都知道这个名词,但是由于应用的不是非常频繁,导致很多专业做SEO的朋友都不是很熟悉301永久重定向的具体操作方法。 做网站优化时会经常用到301的永久重定向功能,让搜索引擎知道这个站已经作废,权重全部转移到新的网站上去,最近整理了下ASP、ASP.NET及PHP的301重定向代码。 ASP: [cc lang="asp"] [/code] ASP.NET: [cc lang="...
2012年12月24日 电脑知识 暂无评论 喜欢 0 阅读全文

如何为GoDaddy空间绑定多个域名图解教程

如何为GoDaddy空间绑定多个域名图解教程
GoDaddy空间如何建多个网站图解教程 首先空间是Deluxe Plan(150G)或者Unlimited Plan才支持建多个网站,最便宜的那款GoDaddy空间(10G)不支持添加多个顶级域名 建多个网站就是绑定多个域名到不同的目录,在之前的GoDaddy空间域名管理教程我也有说明的,但是很多人还是不明白,现在单独做个“GoDaddy空间如何建多个网站做个图文教程”,如果还不懂如何建站先学习GoDaddy主机空间如何建网站。 一,首先添加...
2012年12月23日 编程技术 暂无评论 喜欢 0 阅读全文

区分SQL注入点的类型

区分SQL注入点的类型
根据注入时提交的变量参数类型,SQL注入点有不同的分类,不同的注入点,其注入时需要注意的事项也有所不同。按提交参数类型,SQL注入点主要分为下面 3 种。 1,数字型注入点 形如“http://****?ID=55”,这类注入的参数是“数字”,因此称为“数字型注入点”。 此类注入点提交的SQL语句,其原形大致为:Select * from 表名 where 字段=55 当我们提交注入参数为“http://****?ID=55 And[查询条件]”时,向数据库提交...
2012年12月22日 电脑知识 暂无评论 喜欢 0 阅读全文

IE浏览器下不显示Alexa工具条的解决方法

IE浏览器下不显示Alexa工具条的解决方法
XP系统安装了Alexa.10.0,可在浏览器上面却没有显示Alexa工具条,通常的原因一般都是windows系统对alexa进行了过滤,还有自己安装的优化软件,比如360或者windows优化大师等禁止插件安装之类的。 我这里用的是IE6,如果你的版本更高的话,先要确定在浏览器>>工具>>internet选项>>高级>>启用第三方浏览器的扩展上打勾,另外如果装有360或者windows优化大师要在里面将禁止插件安装之...
2012年12月21日 电脑知识 暂无评论 喜欢 0 阅读全文

服务器网站安全的设置

服务器网站安全的设置
服务器的安全置关重要,如果服务器遭到入侵,那后果将不堪设想,一般我们维护服务器的人员都会有一套自己的安全策略,其实关于网络的入侵,一般都是因为一些网站的安全做得不到位,比如说SQL注入等等,所以这里重点讲一下如何通过服务器将网站的安全做好,我的做法是,将每个网站全部分割开,每一个网站有自己的独立用户管理,有自己的自己应用池,有自己的用户权限,这样分割开的话,当一个网站出现问题的...
2012年12月20日 电脑知识 暂无评论 喜欢 0 阅读全文

Apache iis 404的页面怎么设置

Apache iis 404的页面怎么设置
先来说一下什么是网站的404错误页面,就是当页面不存在时,默认显示的页面,通过404页面的设置可以增加网站的体验度,现在主要的404页面设置是通过在IIS或者是Apache服务器里面设置,下面就介绍一下在这两种服务器下面如何进行设置。 一,在IIS下面如何设置404错误页面。 IIS服务器在站点属性,自定义错误类型404里面选择URL,这里的页面可以自己来制作。 二,Apache服务器在站点里设置ErrorDocument 404/...
2012年12月19日 编程技术 暂无评论 喜欢 0 阅读全文