lengmonanhai

刚学了几天Perl，最近在学校站点上逛，偶然发现freescale实验室网站的留言本有XSS漏洞（图1），于是就打算用它来练习写一个Perl的测试程序，介绍小菜入门的文章，高手略过。

XSS大家都熟悉的很，细节就不赘述。经过手工测试成功后，开始为编写Perl测试工具做前期准备。
首先，通过查阅网页的HTML源代码中找到提交的变量名（图2）。

特别要注意，这个留言本用于验证表单提交还有一个隐藏的参数。（图3）

掌握了上述的资料...

漏洞公告在http://www.sektioneins.de/advisories/SE-2008-03.txt

    PHP 5 <= 5.2.5
    PHP 4 <= 4.4.8

    一些允许如GBK，EUC-KR, SJIS等宽字节字符集的系统都可能受此影响，影响还是非常大的，国内的虚拟主机应该是通杀...

.586p                            ;########################################################################
...

早就想写点什么，自己都不知道一天在瞎忙什么，一直到最近才开始动手。。。我想通过这个乱谈系列跟大家分享一些心得。我打算在这个系列文章中讲点方法与思路，当然，很多方法并不是我的原创，只是我用这些方法和思路解决了我的实际问题。由于本人水平有限，很多说法只是我个人的理解，然后用我自己的语言表达出来，可能并不专业，所以在这里不负责任的乱谈一下，欢迎大家拍砖。

什么是代码逆向

代码逆向即是在没有源代码的情况下，对目标程序的行为、数据流、及编译器生成的代码进行分析，通过...

 最近在研究病毒的检测技术，虽然在这个木马、流氓件猖獗的年代，检测技术（除了考虑效率因素外）已经变得不是十分重要了。但俺仍然出于兴趣想从这里面寻找些思路。或许对抗技术的本身并不在于谁彻底打败了谁，而在于彼此间共同进步。在查阅资料中发现了这篇文章（Anti heuristic techniques  author:Black Jack ），虽然是比较古老的，但还是可以从中获得很多新的思路。翻译的比较粗糙，如有不正确或不准确的地方还望大家指正，后面我会继续谈些对抗仿真技术的...

软件名称】: 机器狗（病毒）
【下载地址】: http://www.dream2fly.net 或 自己搜索下载
【加壳方式】: 未知壳
【编写语言】: MASM
【使用工具】: IDA
【操作平台】: win2003
【软件介绍】: 穿透冰点型带驱动病毒
【作者声明】: 只是感兴趣，没有其他目的。失误之处敬请诸位大侠赐教!

*/
#include <ntddk.h> &nb...

第一次翻译，水平有限，难免有错，请不吝指正。转载请保留信息完整。

摘要：
这份文档是详细讨论SQL注入技术，它适应于比较流行的IIS+ASP+SQLSERVER平台。它讨论了哪些SQL语句能通过各种各样的方法注入到应用程序中，并且记录与攻击相关的数据确认和数据库锁定。

这份文档的预期读者为与数据库通信的WEB程序的开发者和那些扮演审核WEB应用程序的安全专家。

介绍：
    ...

1． 判断a表中有而b表中没有的记录

select a.* from tbl1 a

left join tbl2 b

on a.key = b.key

where b.key is null

虽然使用in也可以实现，但是这种方法的效率更高一些

2． 新建一个与某个表相同结构的表

select * into b

from a ...

女孩终于  


鼓起勇气对男孩说：「我们分手吧」  


男孩问：「为什么？」  

女孩说：「倦了，就不需要理由了」  


一个晚上  

男孩只抽烟不说话  



女孩的心也越来越凉 ...