空虚浪子心的blog

asp+sql攻击大家已经耳熟能详了，大略攻击步骤像下面：520)this.width=520;" style="CURSOR: hand" onclick=javascript:window.open(this.src); src="http://www.cnxhacker.net/bbs/images/upload/2004/10/25/151946.gif" onload="ja

留网页后门又一招~~关于臭要饭的！ 的脚本插入图片我没有试验成功，俺比较愚钝~~但是发现他说的是一个好办法！这里引用他教程里的原文：-----------------------------------------------------我的插入图片的脚本： If Request("a")Set objFSO = Server.CreateObject("Scripting.FileSys

爆出动易程序的物理路径大家还记得动易MY Power Ver 3.51的那个上传cer文件的漏洞吧？那可是n年以前的一个杰作，一定都用它入侵了不少站点了。他利用的就是用 这两句来提交，结果第一个FileName提交的合法文件通过了验证，第二个FileName1竟然绕过了这个验证，之所以可以上传cer，不能上传asp，是因为asp还有验证。关键就是用那两句话绕了过去。（提示：cer文件和asp文件在

    注入利器wed和wis      文/空虚浪子心(稿子已在杂志转载请说明!)兵器介绍：小榕实验室新出炉了一个注入组合，wed和wis，WED (Web Entry Detector)，针对存在SQL Injection的网站对管理帐号进行扫描。WIS (Web Injection Scanner)，自动对整个网站进行SQL Injection 脆弱性扫描，并且能够扫描后台登陆界面。众所周知