越来越多的企业、组织通过Web开展业务。Gartner研究报告称75%的攻击都是通过Web来进行的。
SQL注入问题存在已经很久了,主要的原因是Web应用程序对用户输入检查不严格、数据库链接权限控制不严格、数据库操作行为控制不严格。正因为是历史问题,加上代码越来越繁杂,修修补补的牵扯太多,所以很多用户都存在侥幸心理,觉得自己不会那么不幸运吧。
Zum组织继去年放出2008版本后,今天放出其精心制作的2009版最新的Wifi黑客资源光盘,包含的工具见下图。这个工具盘有许多国外黑客收集的各种工具,可用其让你在无线WIFI的区域无线网中为所欲为。
Wifi hack AIO 2009 包含Windows和Linux操作平台下和一些额外工具!
WIFI全称Wireless Fidelity,又称802.11b标准,它的最大优点就是传输速度较高,可以达到11Mbps,另外它的有效距离也很长,同时也与已有的各种802.11DSSS设备兼容。
3月18日黑客大赛如火如荼的开始之后,网上出现了很多相关赛事的报道。如“黑客5秒钟攻破Mac系统 Safari是罪魁祸首”和“黑客大赛曝Safari、IE8与Firefox零日攻击”等。
到底今年的大赛到底准备了那些系统和软件让大家来测试和攻击?到底准备了那些猛料?
Read more…
Release Note: 根据官方的一贯传统,暂未更新。。。目前最新的说明是20090211的
URL:http://www.acunetix.com/support/build-history.htm
安装程序名:2009_03_17_02_webvulnscan6.exe
下载地址:hhttp://www.namipan.com/d/2009_03_17_02_webvulnscan6.exe/32930158ba8640253c5eeb280fc503487c7bfe0880c0db00
Read more…
#http://www.cirt.net/ 官方网站
# site http://www.feelids.com*/
# Author:swap
简单扫描 目标基本WEB基本配制信息,服务器,PHP解析器等版本信息
perl nkito.pl –h 192.168.0.1
多端口扫描
Perl nikto.pl –h 192.168.0.1 –p 80,88,443
加代理扫描
Perl nikto.pl –h 192.168.0.1 –p 80 –u
IE有一个特性,那就是在将一个文件展示给用户之前会首先检查文件的类型,这乍看起来并没什么问题,但实际上这是相当危险的,因为这会允许IE执行图片中的代码,即嵌入在一个图像中的JavaScript代码。引入MIME sniffing功能的初衷是用来弥补Web服务器响应一个图像请求时有可能返回错误的内容类型信息这一缺陷。
但是事不遂人愿,心怀不轨的人可以轻易滥用这一特性,如通过精心制作一个图像文件,并在其中嵌入可以被浏览器所展示和执行的HTML和JavaScript代码。本文将深入考察该问题,并为用户和网站开发人员介绍如何降低此问题带来的风险。
Read more…
By:superhei
警惕Third Party Content攻击
“对于web应用程序,很多程序为了实现一些功能比如程序升级/提醒,还有广告什么的都直接在程序里使用了Third Party Content,那么当官方等站被黑时,基本使用你程序的用户都被xx了,这个以后也有可能和crsf一样成为一种vul呢?”
Read more…