css样式在FF和IE下的区别
摘要:FireFox: div 设置 margin-left, margin-right 为 auto 时已经居中, IE 不行 FireFox: body 设置 text-align 时, div 需要设置 margin: auto(主要是 margin-left,margin-right) 方可居中 FireFox: 设置 padding 后, div 会增加 height 和 width, 但...
阅读全文
posted @
2008-08-22 15:41
jannock
阅读(1854)
推荐(1) 编辑
动易安全开发手册 完整版
摘要:动易安全开发手册 目录 一、 输入验证 3 1. 什么是输入 3 2. 输入验证的必要性 3 3. 输入验证技术 3 3.1 主要防御方式 3 3.2 辅助防御方式 5 二、 输出编码 8 1. 输出的种类 8 2. 输出编码的必要性 8 3. 输出编码 8 4. ...
阅读全文
posted @
2008-08-20 16:10
jannock
阅读(33224)
推荐(1) 编辑
DNS欺骗技术教程
摘要:定义: DNS欺骗就是攻击者冒充域名服务器的一种欺骗行为。 原理:如果可以冒充域名服务器,然后把查询的IP地址设为攻击者的IP地址,这样的话,用户上网就只能看到攻击者的主页,而不是用户想要取得的网站的主页了,这就是DNS欺骗的基本原理。DNS欺骗其实并不是真的“黑掉”了对方的网站,而是冒名顶替、招摇撞骗罢了。 现在的Internet上存在的DNS服务器有绝大多数都是用bind来架设的,使用的bi...
阅读全文
posted @
2008-08-20 08:35
jannock
阅读(1544)
推荐(0) 编辑
成也萧何 败也萧何:ActiveX技术安全报告
摘要:今年年初至今,多款著名软件相继爆出安全漏洞,这些安全漏洞都和ActiveX技术有紧密的关系。那么到底是ActiveX技术本身存在问题,还是这些应用软件自身在编写时就先天不足呢? 今年年初至今,多款著名软件相继爆出安全漏洞,这些安全漏洞都和ActiveX技术有紧密的关系。那么到底是ActiveX技术本身存在问题,还是这些应用软件自身在编写时就先天不足呢?下文将给你详尽的解答。 西汉的萧何是汉...
阅读全文
posted @
2008-08-19 09:55
jannock
阅读(474)
推荐(0) 编辑
超强工具:关机状态下破解操作系统密码
摘要:普林斯顿大学在今年2月份的时候发布了一项研究成果,指出DRAM中的数据在计算机关机之后的数秒钟内处于一个“逐渐”消失的过程,如果环境温度较低的话,这个时间更会持续数分钟,这就意味着在这段时间内计算机系统中的例如密码之类的某些数据并未消失。 别用有心的人完全可以通过特殊的手段获取并破解这些敏感数据(相关报道看这里)。昨天该研究小组在H.O.P.E 2008黑客大会上公开了这组用于破解的工具,并在...
阅读全文
posted @
2008-08-15 11:40
jannock
阅读(509)
推荐(0) 编辑
dedecms注射漏洞
摘要:漏洞说明:DedeCms由2004年到现在,已经经历了五个版本,从 DedeCms V2 开始,DedeCms开发了自己的模板引擎,使用XML名字空间风格的模板,对美工制作的直观性提供了极大的便利,从V2.1开始,DedeCms人气急却上升,成为国内最流行的CMS软件,在DedeCms V3版本中,开始引入了模型的概念,从而摆脱里传统网站内容管理对模块太分散,管理不集中的缺点,但随着时间的发展,发...
阅读全文
posted @
2008-08-14 08:59
jannock
阅读(343)
推荐(0) 编辑
关于AJAX注入
摘要:作者:余弦 来源:0x37 Security AJAX可以让数据在后台无声无息地进行,假如有办法让你的JS脚本与这个AJAX模块在同域内的话,那可以使用这个XSS来完成二次攻击,并且可以通过XHR对象的status属性来判断返回结果的正确与否。GET型的AJAX,直接构造URL里的参数值;POST型的AJAX,则构造好XHR对象的send方法里的参数值。 一般借用AJAX来完成的攻击,很难被用户...
阅读全文
posted @
2008-08-14 08:58
jannock
阅读(1146)
推荐(0) 编辑
Search Engine XSS Worm
摘要:作者:余弦 来源:0x37 Security 有挑战才有意思,为了诞生个Search Engine XSS Worm,这里拿yeeyan做实验了。译言http://www.yeeyan.com/是一个“发现、翻译、阅读中文之外的互联网精华”的web2.0网站,过滤系统真BT,不过其搜索引擎存在跨站,它的搜索引擎也真够BT,转义单引号、双引号,并且当搜索值含英文冒号:时就不返回搜索结果。于是我只能...
阅读全文
posted @
2008-08-14 08:57
jannock
阅读(288)
推荐(0) 编辑
Joekoe CMS 4.x 上传漏洞
摘要:from : http://www.siteweavercms.cn/Item/166.aspx 转载请注明:from http://www.siteweavercms.cn 出于对CMS的研究,发现Joekoe CMS 4.x出现上传漏洞,而且大多数情况下能直接拿数据库地址或数据库数密码。 为什么上传漏洞不是直接拿SHELL而是那这些呢?哈哈。。。 别急,下面一步步讲解,...
阅读全文
posted @
2008-08-06 18:28
jannock
阅读(574)
推荐(0) 编辑
微软10月起将向安全厂商提前告知安全补丁内容
摘要:微软表示,获得这一待遇的安全厂商必须符合两个要求:一个是研发视窗平台的安全软件,另外一个是软件必须拥有较大的用户规模。 8月6日消息,据国外媒体报道:微软公司日前宣布,从十月份开始,将会向一些安全软件公司提前告知微软将发布的安全补丁内容。 此举是为了让安全软件厂商提前测试他们的软件,同时杜绝黑客根据新发布的漏洞补丁包发动新的攻击。 据悉在过去,微软安全补丁包发布...
阅读全文
posted @
2008-08-06 18:25
jannock
阅读(218)
推荐(0) 编辑
检测你的Web系统有多少安全漏洞
摘要:Internet的开放性使得Web系统面临入侵攻击的威胁,而建立一个安全的Web系统一直是人们的目标。一个实用的方法是,建立比较容易实现的相对安全的系统,同时按照一定的安全策略建立相应的安全辅助系统,漏洞扫描器就是这样一类安全辅助系统。 漏洞扫描就是对计算机系统或者其他网络设备进行安全相关的检测,以找出安全隐患和可被黑客利用的漏洞。作为一种保证Web信息系统和网络安全必不可少的手段,我们有必要...
阅读全文
posted @
2008-08-05 18:35
jannock
阅读(594)
推荐(1) 编辑
使用 sp_executesql
摘要:建议您在执行字符串时,使用 sp_executesql 存储过程而不要使用 EXECUTE 语句。由于此存储过程支持参数替换,因此 sp_executesql 比 EXECUTE 的功能更多;由于 SQL Server 2005 更可能重用 sp_executesql 生成的执行计划,因此 sp_executesql 比 EXECUTE 更有效。 自包含批处理 当 sp_executes...
阅读全文
posted @
2008-08-04 08:34
jannock
阅读(792)
推荐(0) 编辑
存储过程注入
摘要:from : http://www.siteweavercms.cn/Item/113.aspx 由于存储过程中存在用于字符串连接的 + 号连接SQL语句,这就造成SQL注入的可能性. 下面一个例子: PR_UserManage_Users_BatchMove CREATE PROCEDURE [dbo].[PR_UserManage_Users_BatchMove] ( @UserType i...
阅读全文
posted @
2008-08-01 18:13
jannock
阅读(1383)
推荐(0) 编辑
