Up.aspx C#版
[ 2007年3月29日 ]
Tags:
最近看见网上有人发了一个DIY.ASP的.net的版本,毕竟aspx的语法要求相对严谨,尽量减少代码的数量。
我也发一个上传的东东。其实可以完全做成C/S版的,不过感觉没什么必要。可以自定义文件名,用参数访问达到隐蔽的效果。没有做异常处理!
提示:访问的格式为 xxx.aspx?pass=bin
<%@ Page Language="c#" Debug="true" ValidateRequest="false"%>
<%@ import Namespace="System.Web" %>
我也发一个上传的东东。其实可以完全做成C/S版的,不过感觉没什么必要。可以自定义文件名,用参数访问达到隐蔽的效果。没有做异常处理!
提示:访问的格式为 xxx.aspx?pass=bin
<%@ Page Language="c#" Debug="true" ValidateRequest="false"%>
<%@ import Namespace="System.Web" %>
阅读全文 | 分类:资源共享 | 评论:0 | 引用:0 | 浏览:
简体中文版Windows Server 2003 SP2上线
[ 2007年3月29日 ]
Tags:
本月中旬,微软发布了Windows Server 2003 SP2累积升级包,但当时还没有中文版。而在延期2周之后,今天,简体中文版的Windows Server 2003 SP2终于上线。
目前,简体中文版仅有对应32位x86的版本,其他平台版还将在稍后跟上。
该升级包可以在以下版本的Windows系统上安装:
目前,简体中文版仅有对应32位x86的版本,其他平台版还将在稍后跟上。
该升级包可以在以下版本的Windows系统上安装:
阅读全文 | 分类:资源共享 | 评论:0 | 引用:0 | 浏览:
bbsxp sql最新版0day
[ 2007年3月29日 ]
bbsxp前段时间出了个log的注入漏洞,这次的漏洞还是出现在这个地方。
sub Log(Message)
if Request.ServerVariables("Query_String")<>"" then Query_String="?"&Request.ServerVariables("Query_String")&""
Conn.Execute("insert into [BBSXP_Log] (UserName,IPAddress,UserAgent,HttpVerb,PathAndQuery,Referrer,ErrDescription,POSTData,Notes) values ('"&CookieUserName&"','"&Request.ServerVariables("REMOTE_ADDR")&"','"&HTMLEncode(Request.Servervariables("HTTP_User_AGENT"))&"','"&Request.ServerVariables("request_method")&"','http://"&Request.ServerVariables("server_name")&""&Request.ServerVariables("script_name")&""&Query_String&"','"&HTMLEncode(Request.ServerVariables("HTTP_REFERER"))&"','"&Err.Description&"','"&Request.Form&"','"&Message&"')")
end sub
sub Log(Message)
if Request.ServerVariables("Query_String")<>"" then Query_String="?"&Request.ServerVariables("Query_String")&""
Conn.Execute("insert into [BBSXP_Log] (UserName,IPAddress,UserAgent,HttpVerb,PathAndQuery,Referrer,ErrDescription,POSTData,Notes) values ('"&CookieUserName&"','"&Request.ServerVariables("REMOTE_ADDR")&"','"&HTMLEncode(Request.Servervariables("HTTP_User_AGENT"))&"','"&Request.ServerVariables("request_method")&"','http://"&Request.ServerVariables("server_name")&""&Request.ServerVariables("script_name")&""&Query_String&"','"&HTMLEncode(Request.ServerVariables("HTTP_REFERER"))&"','"&Err.Description&"','"&Request.Form&"','"&Message&"')")
end sub
阅读全文 | 分类:技术文章 | 评论:0 | 引用:0 | 浏览:
跨站Script攻击和防范
[ 2007年3月19日 ]
Tags:
第一部分:跨站Script攻击
每当我们想到黑客的时候,黑客往往是这样一幅画像:一个孤独的人,悄悄进入别人的服务器中,进行破坏或者窃取别人的秘密资料。也许他会更改我们的主页,甚者会窃取客户的信用卡号和密码。另外,黑客还会攻击访问我们网站的客户。与此同时,我们的服务器也成了他的帮凶。微软称这种攻击为“跨站script”攻击。而这种攻击大多数都发生在网站动态产生网页的时侯,但黑客的目标并不是你的网站,而是浏览网站的客户。
跨站script攻击的说明
在一本名为<< ADVISORY CA--2000-02>>的杂志中,CERT警告大家:如果服务器对客户的输入不进行有效验证,黑客就会输入一些恶意的 HTML代码,当这些HTML代码输入是用于SCRIPT程序,他们就能利用它来进行破坏,如插入一些令人厌恶的图片或声音等,同时,也能干扰了客户正确浏览网页。
我们知道,有些朋友曾经被诱导到一些可疑的免费网站,他们得到的仅仅是10到20个小的窗口,这些窗口常常伴随着由JAVA 或 JAVASCRIPT生成的失效安钮,这被称为鼠标陷阱。关闭这些窗口是徒劳的,每当我们关闭一个窗口,又会有10几个窗口弹出。这种情况常常发生在管理员没在的时侯发生。鼠标事件是黑客利用跨站SCRIPT方法攻客户的典型范例。
每当我们想到黑客的时候,黑客往往是这样一幅画像:一个孤独的人,悄悄进入别人的服务器中,进行破坏或者窃取别人的秘密资料。也许他会更改我们的主页,甚者会窃取客户的信用卡号和密码。另外,黑客还会攻击访问我们网站的客户。与此同时,我们的服务器也成了他的帮凶。微软称这种攻击为“跨站script”攻击。而这种攻击大多数都发生在网站动态产生网页的时侯,但黑客的目标并不是你的网站,而是浏览网站的客户。
跨站script攻击的说明
在一本名为<< ADVISORY CA--2000-02>>的杂志中,CERT警告大家:如果服务器对客户的输入不进行有效验证,黑客就会输入一些恶意的 HTML代码,当这些HTML代码输入是用于SCRIPT程序,他们就能利用它来进行破坏,如插入一些令人厌恶的图片或声音等,同时,也能干扰了客户正确浏览网页。
我们知道,有些朋友曾经被诱导到一些可疑的免费网站,他们得到的仅仅是10到20个小的窗口,这些窗口常常伴随着由JAVA 或 JAVASCRIPT生成的失效安钮,这被称为鼠标陷阱。关闭这些窗口是徒劳的,每当我们关闭一个窗口,又会有10几个窗口弹出。这种情况常常发生在管理员没在的时侯发生。鼠标事件是黑客利用跨站SCRIPT方法攻客户的典型范例。
阅读全文 | 分类:技术文章 | 评论:0 | 引用:0 | 浏览:
利用QQ文件共享漏洞入侵 Windows2003
[ 2007年3月19日 ]
Tags:
服务器上运行的第三方软件历来就被攻击者们看作是入侵目标系统的捷径。现在,著名的腾讯QQ又被列入了这些捷径名单,好在QQ并不是服务器必备的软件之一,所以相信不会造成大范围的危机。文中遇到特殊情况虽然不多,但大家还是应该遵照“可能的就应该防范”的原则做出相应防御。
一、在Windows2003中得到的Webshell
此次渗透的目标是一台OA办公系统服务器。其操作系统新近升级到了Windows2003,但OA仍存在asp文件上传漏洞,所以webshell的取得并没有任何悬念。阻碍是在权限提升时遇到的。
一、在Windows2003中得到的Webshell
此次渗透的目标是一台OA办公系统服务器。其操作系统新近升级到了Windows2003,但OA仍存在asp文件上传漏洞,所以webshell的取得并没有任何悬念。阻碍是在权限提升时遇到的。
阅读全文 | 分类:技术文章 | 评论:0 | 引用:0 | 浏览:
黑客盯上Google博客网站 数百网页藏恶意代码
[ 2007年3月19日 ]
Tags:
3月17日,据外电报道,一家网络安全公司日前警告称,Google的博客网站(www.blogger.com)存在大量用来传播恶意软件的虚假博客。
据PCWorld网站报道,网络安全公司Fortinet称,一些看似真实的博客,其主题涉及《星球大战》、学校、家具、圣诞节、汽车和女友等,其实包藏了大量各种类型的以脚本启动的恶意软件。该公司称,Google博客服务中这样的网站现在有数百个之多,而且用户在访问这些网站完全意识不到存在的危险。
Fortinet举例说,其中一个网站看起来是为了吸引本田(Honda)CR450的车迷,但其真正目的是却为了传播Wonka木马病毒。Fortinet给出的另一个虚假博客则会将用户重定向到一个自称为“药品快递”(Pharmacy Express)的商店主页,但这个所谓的商店网站却是一个钓鱼网站,它已在大量由Stration蠕虫传播的垃圾电子邮件中出现过。
据PCWorld网站报道,网络安全公司Fortinet称,一些看似真实的博客,其主题涉及《星球大战》、学校、家具、圣诞节、汽车和女友等,其实包藏了大量各种类型的以脚本启动的恶意软件。该公司称,Google博客服务中这样的网站现在有数百个之多,而且用户在访问这些网站完全意识不到存在的危险。
Fortinet举例说,其中一个网站看起来是为了吸引本田(Honda)CR450的车迷,但其真正目的是却为了传播Wonka木马病毒。Fortinet给出的另一个虚假博客则会将用户重定向到一个自称为“药品快递”(Pharmacy Express)的商店主页,但这个所谓的商店网站却是一个钓鱼网站,它已在大量由Stration蠕虫传播的垃圾电子邮件中出现过。
阅读全文 | 分类:业界资讯 | 评论:0 | 引用:0 | 浏览:
diy.aspx记念diy.asp
[ 2007年3月19日 ]
想当初偶也是用着diy.asp很久,有点感情了!弄个他的c#版本,怀念一下!
以下为源码:
以下为源码:
阅读全文 | 分类:资源共享 | 评论:0 | 引用:0 | 浏览:
IE7有钓鱼漏洞 显示网页地址和真实不符
[ 2007年3月19日 ]
Tags:
3月16日消息,本周三,微软表示,公司目前正在调查IE7浏览器软件中可能存在的钓鱼漏洞,争取尽快作出反应以减小用户的损失。
据CNET报道,通过微软最新版本浏览器的错误信息,攻击者可以发送网页恶意代码。
据悉这些恶意代码可以伪装成可靠站点的地址,例如银行等。在此之后,当用户点击这些貌似可靠的地址之后,将被直接引入钓鱼网站。
目前微软正在对该漏洞进行调查,公司发言人表示:“微软并未获知任何基于该漏洞的恶意攻击,不过公司将持续调查工作,从而保证用户的绝对安全。”
在一封正式电子邮件中,微软发言人表示,即使在点击钓鱼攻击网址之后,用户的浏览器地址栏上还将显示其他网页地址,这也让用户很难察觉出问题。
据CNET报道,通过微软最新版本浏览器的错误信息,攻击者可以发送网页恶意代码。
据悉这些恶意代码可以伪装成可靠站点的地址,例如银行等。在此之后,当用户点击这些貌似可靠的地址之后,将被直接引入钓鱼网站。
目前微软正在对该漏洞进行调查,公司发言人表示:“微软并未获知任何基于该漏洞的恶意攻击,不过公司将持续调查工作,从而保证用户的绝对安全。”
在一封正式电子邮件中,微软发言人表示,即使在点击钓鱼攻击网址之后,用户的浏览器地址栏上还将显示其他网页地址,这也让用户很难察觉出问题。
阅读全文 | 分类:业界资讯 | 评论:0 | 引用:0 | 浏览:
用syskey命令加强Windows2000/XP系统安全
[ 2007年3月19日 ]
Tags:
在Windows XP和Windows 2000系统中有一个我不一般不常用,但是功能强大的命令,那就是:syskey命令。
这个命令可以有效地增强你的系统安全性。也许你要说不是进入Windows XP或Windows 2000的时候已经要输入帐户和密码了吗,这样还不安全吗?著名的WIN 2000的输入法漏洞你总该听说过吧,如果你的电脑是多人使用,其他人完全可以通过破取他人的简单密码来进入系统,利用种种漏洞来获取管理员权限。有了syskey制作的加密软盘,你就可以完全放心的使用2000和XP了。下面我们来看看syskey命令的用法。
一、双重密码保护的设置
这个命令可以有效地增强你的系统安全性。也许你要说不是进入Windows XP或Windows 2000的时候已经要输入帐户和密码了吗,这样还不安全吗?著名的WIN 2000的输入法漏洞你总该听说过吧,如果你的电脑是多人使用,其他人完全可以通过破取他人的简单密码来进入系统,利用种种漏洞来获取管理员权限。有了syskey制作的加密软盘,你就可以完全放心的使用2000和XP了。下面我们来看看syskey命令的用法。
一、双重密码保护的设置
阅读全文 | 分类:技术文章 | 评论:0 | 引用:0 | 浏览:
深入防火墙记录
[ 2007年3月19日 ]
Tags: FireWall
本文将向你解释你在防火墙的记录(Log)中看到了什么?尤其是那些端口是什么意思?你将能利用这些信息做出判断:我是否受到了Hacker的攻击?他/她到底想要干什么?本文既适用于维护企业级防火墙的安全专家,又适用于使用个人防火墙的家庭用户。
一、目标端口ZZZZ是什么意思
所有穿过防火墙的通讯都是连接的一个部分。一个连接包含一对相互“交谈”的IP地址以及一对与IP地址对应的端口。目标端口通常意味着正被连接的某种服务。当防火墙阻挡(block)某个连接时,它会将目标端口“记录在案”(logfile)。这节将描述这些端口的意义。
一、目标端口ZZZZ是什么意思
所有穿过防火墙的通讯都是连接的一个部分。一个连接包含一对相互“交谈”的IP地址以及一对与IP地址对应的端口。目标端口通常意味着正被连接的某种服务。当防火墙阻挡(block)某个连接时,它会将目标端口“记录在案”(logfile)。这节将描述这些端口的意义。
阅读全文 | 分类:技术文章 | 评论:0 | 引用:0 | 浏览:
|