SQL注入

不管你的硬件防护措施如何的强大和严密，软件程序的算法和结构如何的规范严谨、网页程序编写时过滤的如何的严格，人为因素带来的漏洞才是最可怕的，因为它是永远都防不胜防的。例如动网论坛，动网经历了这么多年，被人不断的发掘出这么多的漏洞，其中有很多漏洞都是一些很低级的错误。一个纯静态的网页，不知道后台，也不知道FTP帐号密码等信息

最近笔者的朋友接到一个网站的生意，说是给别人做了一个网站， 怕程序出问题。让笔者帮忙检测一下有没有什么注射或者上传之类的漏洞。没有的话就可以交差了。因为只是针对网站来检测漏洞，所以也不需要去旁注或者ARP 什么的。首先打开域名 hxxp://www.target.com/ 打看后一个就知道这程序肯定不是笔者朋友本人写的，好象是什么程序改的，但是又

笔者的一位朋友应聘到一家公司做网管，据说整个机房就他们俩人，工作很轻松。几乎是没什么事做，但是昨天突然给我打电话说是机房被入侵了，被人加了很多用户并且什么cain，arpspoof全都丢到服务器上了，想让笔者帮忙看看是怎么渗透进去的，于是乎在敲诈了一顿烤鸭之后笔者终于出手了。在经过朋友的同意之后特意将本文写出来！

近日看到IT168网络安全频道在举办网络攻防大奖赛，看了奖品，心动不已，本来想拿个“最佳漏洞分析奖”的，可惜实力不够。只好退而求其次，写篇文章，忽悠下广大人民群众，争取个“最佳反黑精英奖”吧。通关说明上写明了是个模拟的环境，为了体现环境的真实，笔者打算也融入模拟的环境，做个成功的入侵者，写封信给管理员看。

目前中国互联网安全事件层出不穷，每天都有众多网站被黑客入侵破坏。为了提高网站管理者的攻防能力，前不久由IT168网络安全频道、IXPUB.Net技术论坛主办，北京华安普特网络科技有限公司协办的“IT168网络安全大奖赛”正式开幕。本次大奖赛通过搭建真实环境，在专有服务器上模拟类似安全问题，让网友进行攻防演练，从而达到提高网站管理者的攻防

大家好，我是陆羽，最近无意中发现了这个活动，所以就来看看，呵呵。下面是我的简单漏洞分析和修补报告。

祝贺IT168安全频道成功的推出了这个活动，很久没有人提到了“白帽黑客”了，这次活动将白帽黑客们又一次集合到一起，这个举动不是区区一千元能够吸引大家共同参与的本意。

本文介绍了什么是SQL注入攻击和如何防御这种攻击，同时，讲解了在C#3.0和VS2008中如何使用LINQ来防御SQL注入攻击。

SQL Server是中小型网站广泛使用的数据库，由于功能强大也滋生了很多安全问题，国内又因为SQL注入攻击的很长一段时间流行，导致对SQL Server的入侵技巧也层出不穷，由于SQL Server支持多语句，相信很多小黑在对SQL Server进去SQL注入的时候很少使用猜解表名之类的方法，而直接转向使用SQL Server的存储过程和函数快速的拿权限，下面我就围绕SQL

web开发应用程序（网站），是目前应用最广泛的程序。但是开发者的水平参差不齐，导致了各种各样web漏洞的出现。本文站在分层架构的角度，分析一下如何在java web程序中找到可能出现的种种漏洞。

上次发表了《小漏洞，大危害之QQ空间暴出跨站漏洞》（原文地址：http://publish.it168.com/2007/0706/20070706017401.shtml）之后，腾讯很快补上了这个漏洞。不知道是看到了这个文章后补的，还是自己发现而补上的。总之这种中转验证不严导致的跨站漏洞看起来幼稚，但这种可笑的漏洞也是门户站点，安全的软肋，名家有云：细节是决定成败的关键。

这篇文章讨论SQL注入和CSS攻击漏洞的检测技术。网上已经有很多关 于这两种基于WEB攻击的讨论，比如如何实施攻击，他们的影响，怎样更好的编制和设计程序防止这些攻击。 然而, 对如何检测这些攻击并没有足够的讨论。 我们采用流行的开源的IDS Snort[ref 3],组建根据检测这些攻击的规则的正则表达式。 附带，Snort默认规则设定包含检测CSS的

黑客们在进行攻击前，会telnet到SSH服务的端口上获取版本信息，如果将SSH真正的版本信息进行隐藏和伪装，可以很好地迷惑对方。为了隐藏和伪装SSH服务的版本信息，需要修改OpenSSH的version.h头文件定义，将如下对版本的定义信息改成其他字符串。 #define SSH_VERSION "OpenSSH_3.6.1" 保存修改后，需要对OpenSSH重新进行编译。

在一小部分机器里，网络共享是艰难的，它们怎么做也看不到对方的计算机和资源列表，但是使用一些局域网管理工具如LANExplorer、LANetAdmin等却能看到一切，对于这种计算机，只能通过直接输入资源名称或把对方共享资源通过net use命令给映射过来作为虚拟盘符才能工作，对于这种机器，它实际上并没有故障，只是对方通过某种手段阻止了计算机向浏览

在建立规则时要掌握这样一个原则，当打开一个程序，而这个程序需要进行网络连接时，如QQ、IE、千千静听（搜索歌词）等，这时可以选择允许；如果没有启动程序，而是自动弹出一个对话框，这时就要特别小心，因为木马都是自动进行网络通讯的。

如果备份的数据库有2个文件，分别是.LDF 和 .MDF，打开企业管理器，在实例上右击---所有任务--附加数据库，然后选择那个.MDF文件，就可以了。

数据安全之MySQL安全的二十三条军规

Bryan Sullivan是SPI Dynamics 一个Web应用软件安全产品公司的开发经理。Bryan管理DevInspect 和 QAInspect Web 安全产品，这些产品帮助程序员在整个开发和测试过程中维护应用程序的安全。他在Georgia Tech获得本科学位，而且有11年信息技术产业工作经验。他也对AVDL有所贡献，这已经成为应用软件安全行业的一个标志。

SQL Injection规避入侵检测技术总结

脚本script是使用一种特定的描述性语言，依据一定的格式编写的可执行文件，又称作宏或批处理文件。脚本通常可以由应用程序临时调用并执行。各类脚本目前被广泛地应用于网页设计中，因为脚本不仅可以减小网页的规模和提高网页浏览速度，而且可以丰富网页的表现，如动画、声音等。举个最常见的例子，当我们点击网页上的E－mail地址时能自动调用Out