老徐的自留地

时光在笔尖流淌

标签 安全 下的文章

August 4, 2018

关于最近爆发的无卡盗刷的技术上的可能性及防范方法

近日,微信、微博及很多论坛都被曝,自己的银行卡、支付宝、京东等被盗刷,而自己手机就在身边,并且收到几十条甚至几百条短信。下面就说一下可能性及防范方法。1.手机木马通过诱惑性的链接或邮件,引导用户安装手机木马,该木马可以拦截用户短信,并且将短信转给攻击人指定的邮箱或服务器上。防范方法:不要点击可疑的链接及邮件,如果是Android手机,请在设置——>高级设置——>安全,关闭其中的“...
March 8, 2009

SQL注入漏洞全接触--高级篇

看完入门篇和进阶篇后,稍加练习,破解一般的网站是没问题了。但如果碰到表名列名猜不到,或程序作者过滤了一些特殊字符,怎么提高注入的成功率?怎么样提高猜解效率?请大家接着往下看高级篇。第一节、利用系统表注入SQLServer数据库SQLServer是一个功能强大的数据库系统,与操作系统也有紧密的联系,这给开发者带来了很大的方便,但另一方面,也为注入者提供了一个跳板,我们先来看看几个具体的例子:①...
March 8, 2009

SQL注入漏洞全接触--进阶篇

第一节、SQL注入的一般步骤首先,判断环境,寻找注入点,判断数据库类型,这在入门篇已经讲过了。其次,根据注入参数类型,在脑海中重构SQL语句的原貌,按参数类型主要分为下面三种:(A) ID=49 这类注入的参数是数字型,SQL语句原貌大致如下:Select * from 表名 where 字段=49注入的参数为ID=49 And [查询条件],即是生成语句:Select * from 表名 ...
March 8, 2009

SQL注入漏洞全接触--入门篇

随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的SQL Injection,即SQL注入。SQL注入是从正常的WWW端口访...