当前目录: 网络安全
dedecms 最新sql注射漏洞利用guestbook.php

2012年12月12日  网络安全   

漏洞成功需要条件: 1. php magic_quotes_gpc=off 2.漏洞文件存在 plus/guestbook.php dede_guestbook 表当然也要存在。 怎么判断是否存在漏洞: 先打开www.xxx.com/plus/guestbook.php  可以看到别人的留言, 然后鼠标放在 [回复/编辑]   上 可以看到别人留言的ID。那么记下ID 访问: 1 www.xxx.com/plus/guestbook.php?action=admin&job=editok&msg=errs.cc'&id=存在的留言ID 提交后如果是dede5.7版本的话 会出现 “成功更改或回复一条留言” 那就证明修改成功了 跳回到www.xxx.com/plus/guestbook.php 看下你改的那条留言ID是否变成了 errs.cc’ 如果变成了 那么证 明漏洞无法利用应为他开启了 php magic_quotes_gpc=off 如果没有修改成功,那留言ID的内容还是以前的 那就证明漏洞可以利用。 那么再次...

删除不必要的IIS组件

2012年11月26日  网络安全   

最少的服务往往带来最大的安全,一般的Web服务器只需安装的最小组件选择是:Com Files、IIS Snap-In. WWW Server组件。至于Indexing Service,FrontPage 2000 Server Extensions, Internet Service Manager这几个组件非常危险的,没有必要的话完全可以不 安装。在实际的网站服务器设置中,.可以根据网站功能的需要,将不必要的IIS组件卸载。 下面介绍如何卸载不必要的IIS组件: (1)单机任务栏菜单“开始”--“控制面板”--“添加删除程序”,打开“添加或删除程序”。单击对话框左侧的“添加/删除win组件”按钮,打开windows组件安装对话框。 (2)选中“internet信息服务(IIS)”然后单机“详细信息”按钮,在internet信息服务中将不必要的IIS组件的勾去掉就行了之后点确定。

黑客技术之社会工程学

2012年11月8日  网络安全   

社会工程师的攻击手法也各不相同,以获取无害信息来说,可 以伪装成公司同事然后像其他人索取,或者收集整理公司的垃圾等。不同的攻击方法有不同的实施过程及特点,可能针对上述的某一种人性弱点也可能针对多个弱点,一些常见的社会工程学攻击技巧如下: 1)冒充成不引人关注的职业,潜入攻击目标所处的工作区; 2)攻击新员工,通过假冒权威、寻求帮助、建立认同感等各种策略套取无害信息,甚 至作为攻击跳板的访问权; 3)伪装身份,在获取目标部分信息后,通过伪装建立起信任,通过对话获取更敏感信 息; 4)十度隔离法,利用关联层层渗透,对攻击目标逐步接近; 5)正面攻击,直截了当地开口要求所需信息,这种看似荒谬不可能实现的攻击方式, 借助于一系列步骤和精心策划的借口托辞,往往也是可以从看似不可能实现的转变...

域名小知识

2012年11月2日  网络安全   

域名查询技术 互联网上使用最多的就是域名,域名(Domain Name)是指企业,政府,非政府组织等机构或者个人在域名注册商上注册的名称,是互联网上企业或机构间相互联络的网络地址。通俗地说,域名就相当于一个家庭的门牌号码。别人通过这个号码可以很容易找到你。 (1)域名的构成 以一个常见的域名为说明,baidu网站是由两部分组成的,标号“baidu”是这个域名的主体,而最后的标号“com”则是该域名的后缀,代表这是一个com国际域名,是顶级域名。而前面的www.是网络名,为www的域名。DNS规定。域名中的标号都由英文字母和数字组成,每一个标号不超过63个字符,也不区分大小写字母。标号中除连字符(-)外不能使用其他标点符号。级别最低的域名写在最左边,而级别最高的域名写在最右边。由多个标号组成的完整域名总共不...