51CTO博客开发
前言 windows的shell32在处理控制面板程序的快捷方式文件时,存在一个漏洞,可以加载硬盘上的任意DLL文件,即可执行任意代码。 漏洞文件的生成 到“控制面板”下面,右键点“显示”,点“创建快捷方式”,把快捷方式创建在桌面上。然后在桌面用WinHex打开“显示.lnk”文件。 Off
80sec发现的大漏洞 ,之前听阿里巴巴的同学也说到过 。说明这个漏洞地下知道的人已经很多了 只是今天公开了。。。 漏洞介绍:nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。80sec发现其中存在一个较为严重的安全问题,默认情况下可能导致服务器错误的将任何类型的文件以PHP的方式进行解析,这将导致严重的安全问题,使得恶意的攻击者可能
我们都知道windows2003 + IIS6.0下,如果目录结构中有xxx.asp这样的目录,那么所有这个目录下的文件不管扩展名为什么,都会当作asp来解析。我们一般称这个漏洞为windows2003+iis6.0目录解析漏洞。但是大家可能不知道的是,apache服务器也存在类似的解析漏洞 我们来做下实验,我在本地搭建好了一个apache+php的测试平台 两个文件phpinfo.php
Google于今年一月披露受到了黑客攻击,并声称有重要的知识产权遭窃取。现在攻击事件的更多细节正逐渐显现。 《纽约时报》报道,一位熟知内部调查的消息人士透露,黑客窃取了Google的单点登录认证系统Gaia的源代码。 Gaia是至关重要的访问控制密码系统,Google在全世界的员工通过这套系统能访问公司所有的Web服务器,包括电子邮件和商业应用程序的服务器。虽然Google正在修改这套系统,但
首先这次的检测纯属是个偶然?为什么是偶然大家请慢慢听我说吧.这里感谢AK!我本来想利用搜索引擎玩下后台过滤不严的网站!
http://t.qq.com/linkboy2007 貌似很时尚。。。O(∩_∩)O哈哈~
印象中好像是赛门铁克第二次出远程溢出漏洞了。。。那些企业sep用户可能会有些影响。脆弱的内网安全啊 攻击代码如下 赛门铁克远程溢出exp # # # # # # # # # # # # # # # # # # # # # # # # # ### SYMANTEC AV w/ INTEL FILE TRANSFER SERVICE ### REMOTE SYSTEM LEVEL EX
之前有篇日志写了ITIL v3的介绍。这里说一下v3和v2才差异 ITIL V3自从2007年推出后,已经将近两年了,这两年时间足够令相关的研究者和爱好者能知晓这个名词。对于新的名词、概念或者技术推出后,往往会有三个时期存在较多的争论,最热闹的时候一般是刚推出或临近推出的时期,而后慢慢冷淡一段时间后,不少有机会深入这些新事物的人慢慢地又会有第二个阶段的争论,最后一个阶段常常是这个新事物真正深入实
安全专家表示,选择云计算的企业可能熟悉多重租赁(multi-tenancy,多个公司将其数据和业务流程托管存放在SaaS服务商的同一服务器组上)和虚拟化等概念,但这并不表示他们完全了解云计算的安全情况。云安全联盟(CSA)执行董事Jim Reavis认为, 云计算其实就是将各种技术集中在一起创造出一种具有独特管理制度的应用程序。 这是计算机时代的新篇章,虽然这一切听起来很熟悉,但只要深入了解
已经拿了itil v2 的认证 特地升级到v3认证好像意义不大,但是还是有必要了解一下 v2和v3的区别。一起来看看朋友的itil v3介绍吧 在 20 世纪80 年代末期,英国商务部发布了ITIL。OGC 最初的目标是通过应用IT 来提升政府业务的效率;目标是能够将不同IT 职能之间缺乏沟通的状况降至最低。OCG 意识到有必要管理不同的IT 组件,例如硬件、软件、基于计算机的通信来
在最新的discuz! 7.2中自带了一个新的应用程序插件manyou。恰恰在这个新插件中,没有对传入的参数进行检查,在GPC为off的情况下,导致注入漏洞的产生。 漏洞分析:文件./manyou/sources/notice.php 相关代码: if($option == 'del') {$appid = intval($_GET['appid']);$db->query("DELE
最近腾讯分站被“黑”的消息有蛮人多关注的,某带头大哥就叫我写了篇贴子说说相关的过程是怎样的,进入正题! 大家都想像得到要黑腾讯这类大站
网上有不少介绍godaddy去广告的安全方法,但个人觉得还是不太好。然后结合自己的学习,推出最安全的godaddy去广告方法: 方法一:CSS隐藏,安全性90%,可能会被K! 在asp html文件最后加上<style>#conash3D0 {display:none}</style> 方法二:中文屏蔽,godaddy网管应该没有用中文,安全性95%! 在asp h
最近用win7了,弄了个激活码,也不知道能用到什么时候,心里多少是有点忧虑的,没个底,管他的呢,现在能用就先用着,以前也没玩怎么过Vista,不过感觉win7界面上还是有点像Vista的,有些功能上也差不多,不过感觉用这个win7还真不错,我也只是相对XP的感觉,当然了,win7的硬盘空间倒是占用了不老少我19G的C盘装完后就还剩10G多点的可用空间了。昨晚为了能把C盘的ProgramData文件
Radmin是一款不错的远程管理工具,许多服务器的远程管理都使用该软件。应用比较普遍的是以前V2.2的老版本。如果经常从事服务器远程管理,会在Radmin viewer中会有许多服务器远程连接地址簿,有时会需要对该地址簿进行备份。V3版本已经提供了地址簿备份功能,但V2版本中是没有的,怎样对这些地址簿进行备份就成了一个问题,这里提供两个解决方法: 1、安装Radmin Viewer3,安装后
#include "stdafx.h" #include <stdio.h> #include <windows.h> int main(int argc, char* argv[]) { char temp[256]; DWORD ret; LPCTSTR szRegKey="SOFTWARE\\Microsoft\\Win
第一种方法: 先注册个用户然后把 <form method="post" action=" http://www.xxx.com/bbs/misc.php" enctype="multipart/form-data"> 帖子ID,指定一个存在的帖子即可:<input type="t
记得上次讨论XSS是从输入防还是从输出防,我的回答是从两方面防,但另外一点就是要考虑应用,同时需要按XSS出现的情况分风险等级。我举了三个简单的例子: 1.一个原来只需要整型的参数却允许传字符型在页面输出了XSS,这个就是BUG! 这个例子说明的是程序员的安全意识问题,因为偷懒,输入和输出都没有严格控制数据类型,如果你是程序员你要怎么修改这个漏洞呢,当然是输入和输出都给改咯。 一个很简单的逻
相信很多Windows用户今天一开机就收到了更新通知,不过不用担心,这不是在检查系统正版与否,而是微软刚刚放出的一个紧急安全修正补丁“KB958644”(MS08-067)。 在微软施行每月一次安全升级制度以来,这还是第二次打破惯例——上次是2007年4月的ANI动态光标漏洞事件。 根据微软安全公报,KB958644涉及了一个Level 200中
经过实践,这个需要修改一下项目文件(.csproj) 把 <Import Project="$(MSBuildToolsPath)\Microsoft.CSharp.targets" /> 替换成: <Import Project="$(MSBuildBinPath)\Microsoft.CSharp.targets"
价格为0 update cdb_nkflash set play_fee='0' 记录清空 update cdb_nkflash set uid_1='0',score_1='0',level_1
;;;;;;;;;;; ; WARNING ; ;;;;;;;;;;; ; This is the default settings file for new PHP installations. ; By default, PHP installs itself with a configuration suitable for ; development purposes, and
导读: 文章摘要:当越来越多的网站采用MSN和邮件邀请注册后,快速提高了用户群。好象现在网站再使用MSN或邮件邀请注册的话,效果大不如以前。因为用的人太多了,泛滥了,大家都麻木了,看了这样的邮件就删除,不想注册。 当越来越多的网站采用MSN和邮件邀请注册后,快速提高了用户群。好象现在网站再使用MSN或邮件邀请注册的话,效果大不如以前。因为用的人太多了,泛滥了,大家都麻木了,看了这样
导读: PS:@extract函数。 Phpcms 2007 远程文件包含漏洞 Flyh4t [w.s.t] www.wolvez.org 该cms的核心配置文件/include/common.inc.php有缺陷 -------------------------------------------- //23行开始 @extrac
导读: 全球黑客史话从19世纪60年代麻省理工学院揭开序幕,硅谷也就是早期的黑客纵横驰骋的疆场。时隔两个世纪后,在亚洲的另一块巨大的版图上再现黑客传奇,尽管中国黑客仍处于萌芽状态——技术共享与精神自由的局限。 时至今日,国家不同的体制仍制约了技术的高速发展,在中国便恰恰如此,它滞后了高新技术的进步,当然,这种体制是由当权派制定的。在中国,无数的激进分子抱怨尚
导读: 正好今天没写博,就答复在这里了,权当灌水。 周鸿祎的观点是,要把安全社区化,且他认为杀毒软件如同IM、邮箱一样是互联网的基础服务。从这里面其实就可以透露出一个信息,360和其他的杀毒厂商是完全不同的。 国内的几大传统的杀毒厂商比如瑞星、金山、江民等,都有若干年的历史了,都是从PC时代发展起来的。那个时候互联网还没有普及,他们主要针对的是基于主机的病毒防范。所以他们的
ISO27001实践总结(一) By linkboy Linkboy2007@yahoo.com.cn 序: 近期负责公司ISO27001 08年的年审项目。在整个项目实施过程中收获颇丰。无论是对ISO27001的制度了解还是ISMS的管理实施都积攒了一定的经验。08年上市中或准备上市的公司不少,在这里和大家分享一下我的ISO27001实践经验。 正文:
导读: 事件营销在英文里叫做Event Marketing,国内有人把他直译为“事件营销”或者“活动营销”。事件营销(event marketing)是企业通过策划、组织和利用具有名人效应、新闻价值以及社会影响的人物或事件,引起媒体、社会团体和消费者的兴趣与关注,以求提高企业或产品的知名度、美誉度,树立良好品牌形象,并最
导读: 有了这个代码,再配合mdb压缩的算法,就可以实现压缩功能喽~~ .STYLE1 {color: #FF0000} .STYLE2 { color: #FFFFFF; font-weight: bold; font-size: 14px; } *{font-size:12px;} --> &nbs
Copyright © 2005-2025 51CTO.COM 版权所有 京ICP证060544号
