• 修复hash漏洞 西西软件下载

    修复hash漏洞 西西软件下载

    软件介绍软件标签:php5aspPHP是一种新型的CGI程序编写语言,易学易用,运行速度快,可以方便快捷地编写出功能强大,运行速度快,并可同时运行于Windows、Unix、Linux平台的Web后台程序,内置了对文件上传、密码认证、Cookies操作、邮件收发、动态GIF生成等功能,PHP直接为很多数据库提供原本的连接,包括Oracle、Sybase、Postgres、Mysql、Informix、Dbase、Solid、Access等,完全支持ODBC接口,用户更...

    02012 年 10 月 12 日1,033PHP木马
  • PHP漏洞全解(六)-跨网站请求伪造

    PHP漏洞全解(六)-跨网站请求伪造

    CSRF(CrossSiteRequestForgeries),意为跨网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用户自己点击的,而他又是合法用户拥有合法权限,所以目标用户能够在网站内执行特定的HTTP链接,从而达到攻击者的目的。例如:某个购物网站...

    02012 年 10 月 2 日843PHP木马
  • PHP漏洞全解(七)-Session劫持

    PHP漏洞全解(七)-Session劫持

    服务端和客户端之间是通过session(会话)来连接沟通。当客户端的浏览器连接到服务器后,服务器就会建立一个该用户的session。每个用户的session都是独立的,并且由服务器来维护。每个用户的session是由一个独特的字符串来识别,成为sessionid。用户发出请求时,所发送的http表头内包含sessionid的值。服务器使用http表头内的sessionid来识别时哪个用户提交的请求。session保存的是每个用户的个人数据,一般的web应用程序会使用sessi...

    02012 年 10 月 2 日845PHP木马
  • PHP漏洞全解(二)-命令注入攻击

    PHP漏洞全解(二)-命令注入攻击

    本文主要介绍针对PHP网站常见的攻击方式中的命令攻击。CommandInjection,即命令注入攻击,是指这样一种攻击手段,黑客通过把HTML代码输入一个输入机制(例如缺乏有效验证限制的表格域)来改变网页的动态生成的内容。使用系统命令是一项危险的操作,尤其在你试图使用远程数据来构造要执行的命令时更是如此。如果使用了被污染数据,命令注入漏洞就产生了。AD:...

    02012 年 10 月 2 日638PHP木马
  • PHP漏洞全解(八)-HTTP响应拆分

    PHP漏洞全解(八)-HTTP响应拆分

    HTTP请求的格式1)请求信息:例如“Get/index.phpHTTP/1.1”,请求index.php文件2)表头:例如“Host:localhost”,表示服务器地址3)空白行4)信息正文“请求信息”和“表头”都必须使用换行字符(CRLF)来结尾,空白行只能包含换行符,不可以有其他空格符。下面例子发送HTTP请求给服务器www.yhsafe.comGET/index.phpHTTP/1.1↙//请求信息Host:www.yhsafe.com↙//表头↙//空格行↙↙符号表示回车键,在...

    02012 年 10 月 2 日871PHP木马
  • PHP漏洞全解(九)-文件上传漏洞

    PHP漏洞全解(九)-文件上传漏洞

    一套web应用程序,一般都会提供文件上传的功能,方便来访者上传一些文件。下面是一个简单的文件上传表单php的配置文件php.ini,其中选项upload_max_filesize指定允许上传的文件大小,默认是2M$_FILES数组变量PHP使用变量$_FILES来上传文件,$_FILES是一个数组。如果上传test.txt,那么$_FILES数组的内容为:如果上传文件按钮的name属性值为file那么使用$_FILES['file']['name']来获得客户端上传文件名...

    02012 年 9 月 30 日703PHP木马
  • ASP网站漏洞解析及黑客入侵防范方法

    ASP网站漏洞解析及黑客入侵防范方法

    欢迎进入网络安全论坛,与300万技术人员互动交流>>进入  如何更好的达到防范黑客攻击,本人提一下个人意见!第一,免费程序不要真的就免费用,既然你可以共享原码,那么攻击者一样可以分析代码。如果在细节上注意防范,那样你站点的安全性就大大的提高了。即使出现了SQLInjection这样的漏洞,攻击者也不可能马上拿下你的站点。  由于ASP的方便易用,越来越多的网站后台程序都使用ASP脚本语言。但是,由于ASP本身存...

    02012 年 9 月 28 日794ASP木马
  • PHP漏洞全解(一)-PHP网站的安全性问题

    PHP漏洞全解(一)-PHP网站的安全性问题

      针对PHP的网站主要存在下面几种攻击方式:  1、命令注入(CommandInjection)  2、eval注入(EvalInjection)  3、客户端脚本攻击(ScriptInsertion)  4、跨网站脚本攻击(CrossSiteScripting,XSS)  5、SQL注入攻击(SQLinjection)  6、跨网站请求伪造攻击(CrossSiteRequestForgeries,CSRF)  7、Session会话劫持(SessionHijacking)  8、Session固定攻击(SessionFixation)  9、H...

    02012 年 9 月 26 日775PHP木马
  • Web app框架漏洞促微软及时修补ASP.net

    Web app框架漏洞促微软及时修补ASP.net

      许多Web应用程序框架易受到针对哈希表(hashtables)处理方式的拒绝服务攻击,研究人员本周三发现该漏洞。微软几小时后也立即宣布了其将推出ASP.NET平台的“波段”补丁。  哈希表通过将数据分发到列表中不同的插槽(该列表基于计算结果的方式,能够执行数据本身,即哈希函数),以快速存储和检索数据。在理想的情况下,哈希函数将为每一个可能的数据项返回不同的结果或哈希(或散列)。但实际上在现实中并非如此,而是会出现...

    02012 年 9 月 14 日709ASP木马
  • PHP又有重大漏洞 多语言拒绝服务漏洞事件预警

    PHP又有重大漏洞 多语言拒绝服务漏洞事件预警

      感谢youmegou网的投递  新闻来源:oschina  安全部门监测到目前PHP5.3.9被黑客发现存在严重的安全漏洞,远程攻击者可以直接利用此漏洞执行任意PHP代码,安全风险非常高  。经过跟进,该漏洞(CVE-2012-0830)是由于PHP官方为解决多语言hash漏洞引入了新的机制产生的新的安全漏洞。  【漏洞影响版本】  PHP5.3.9  注:在修复PHP多语言hash漏洞时若采用直接打补丁的方式(补丁地址:点击查看)不受...

    02012 年 9 月 12 日814PHP木马
1 / 2 1 2 下一页 »