• Perl脚本打造自己简单的XSS Proof of Concept

    2008-05-11
    刚学了几天Perl,最近在学校站点上逛,偶然发现freescale实验室网站的留言本有XSS漏洞(图1),于是就打算用它来练习写一个Perl的测试程序,介绍小菜入门的文章,高手略过。

    XSS大家都熟悉的很,细节就不赘述。经过手工测试成功后,开始为编写Perl测试工具做前期准备。
    首先,通过查阅网页的HTML源代码中找到提交的变量名(图2)。

    特别要注意,这个留言本用于验证表单提交还有一个隐藏的参数。(图3)

    掌握了上述的资料...
    分类: 黑客技术 | Tag: Perl脚本打造自己简单的XSS Proof of Concept
    Inspiration 发表于22:52:25 | 阅读全文 | 评论 0 | 编辑 | 分享 0

  • SQL Server应用程序中的高级SQL注入

    2008-05-11
    第一次翻译,水平有限,难免有错,请不吝指正。转载请保留信息完整。

    摘要:
    这份文档是详细讨论SQL注入技术,它适应于比较流行的IIS+ASP+SQLSERVER平台。它讨论了哪些SQL语句能通过各种各样的方法注入到应用程序中,并且记录与攻击相关的数据确认和数据库锁定。

    这份文档的预期读者为与数据库通信的WEB程序的开发者和那些扮演审核WEB应用程序的安全专家。

    介绍:
        ...
    分类: 黑客技术 | Tag: SQL Server应用程序中的高级SQL注入
    Inspiration 发表于01:03:19 | 阅读全文 | 评论 0 | 编辑 | 分享 0

  • 精妙Sql语句

    2008-05-11
    1. 判断a表中有而b表中没有的记录

    select a.* from tbl1 a

    left join tbl2 b

    on a.key = b.key

    where b.key is null

    虽然使用in也可以实现,但是这种方法的效率更高一些

    2. 新建一个与某个表相同结构的表

    select * into b

    from a ...
    分类: 黑客技术 | Tag: SQL
    Inspiration 发表于01:00:50 | 阅读全文 | 评论 0 | 编辑 | 分享 0

  • 手工SQL标准注入语句

    2008-05-11
    1.判断有无注入点
    ; and 1=1 and 1=2


    2.猜表一般的表的名称无非是admin adminuser user pass password 等..
    and 0<>(select count(*) from *)
    and 0<>(select count(*) from admin) ---判断是否存在admin这张表


    3.猜帐号数目 如果遇到0< 返...
    分类: 黑客技术 | Tag: 手工SQL注入
    Inspiration 发表于00:40:04 | 阅读全文 | 评论 0 | 编辑 | 分享 0
共1页 1