摘要:论坛解决方法:(1)为你的数据库文件名称起个复杂的非常规的名字,并把他放在几层目录下。所谓“非常规”,打个比方:比如有个数据库要保存的是有关书籍的信息,可不要把它命名为”book.mdb“的名字,起个怪怪的名称,比如d34ksfslf.mdb,再把他放在如./kdslf/i44/studi/的几层目录下,这样黑客要想通过猜的方式得到你的access数据库文件就难上加难了;(2)不要把数据库名写在程......
摘要:论坛前言:前一段时间研究lids,觉得还不错,于是将网上收集到的资料以及使用的经验整理了一下,希望对研究lids的朋友和linux下的管理员有所帮助。一.lids介绍:lids是linux下的入侵检测和防护系统,是linux内核的补丁和安全管理工具,它增强了内核的安全性,它在内核中实现了参考监听模式以及强制访问控制(mandatoryaccesscontrol)模式。lids主要功能:保护:保护硬......
Perl CGI编程安全点滴网络安全频道 cgi在现在的互联网应用越来越广泛,cgi编程的安全问题也得到越来越多的重视.perl作为cgi编程的主要语言之一,其安全性也受到很大的关注.在w3c组织的"wwwsecurityfaq"之"cgiscripts"一章中,perl安全编程就整整占了一节.由此可见perlcgi安全编程的重要性.--------------------- 【程序编程相关:
孙建东:我在微软这么久电脑从未感染过病毒】 【推荐阅读:
摩托罗拉展示Razr家族产品 推超薄Kr】1.“有毒”的null字符 【扩展信息:
在Vs.net中使用MSN即时通讯软件-】 --------------------- 如果我说:"root"=="root",相信没有什么人反对.但同时我也这样说: "root"!="root"!还有多少人会认为我是个“正常人”?:) 但在各种不同的编程语言中,确实存在着这种情况. 对于每一个希望发现cgi漏洞的安全专家或黑客来说,最常用的方法之一是 通过传递特殊字符(串),绕过cgi限制以执行系统级调用或程序.如果你仔细 留意的话,或许也会发现null字符确实有它的“妙用”.:) 阅读以下例子: #parse$user_input $database="$user_input.db"; open(file"<$database"); 这个例子用于打开客户端指定的数据库文件.例如客户端输入"backend",则系 统将打开"backend.db"文件考只读方式).(注:在这里我们暂且不讨论"../" 的安全问题.)这种处理方式在互联网中是很常见的. 现在,让我们在客户端输入"backend%00",在该perl程序中$database= "backend.db",然后调用open函数打开该文件.但结果是什么呢?系统会打 开"backend"文件(,如果该文件存在)! 出现这种情况的原因是由于perl允许在字符串变量中使用null空字符,而 在c语言中字符串则不允许包含空字符.因此,也就有了"root"!="root"(在 perl中)与"root"="root"(在c语言中).由于系统内核/调用等都是使用c 语言编写,因此当perl将"backend.db"字符串传递到(c语言的)链接库/程序 时,空字符以后的字符将被忽略?(或许还有利用价值?我还没发现.:)) 这种编程缺陷的影响可大可小.试想一下,如果利用以上编程原理编写一个 给系统其他管理员修改除了root外的其他用户口令的perl程序: $user=$argv[1]#userthejradminwantstochange if($userne"root"){ #dowhateverneedstobedoneforthisuser} 那么,聪明的你应该知道如何绕过这个限制修改root用户口令了吧?对了,只要 使$user="root",则perl会执行上面程序中花括号内的语句.除非所有处理 ...
下一页 摘要:论坛 ids要有效地捕捉入侵须拥有健全的罪犯信息库一的入侵行为往往相逢不相识,做到万变应万变!本文将读者尽快掌握对付“变脸”行为,必须拥有一个强大的入侵样。但是,ids一般所带的特征。因此,管理员有必要学会如何对入侵特征的概念、种类以及如的方法。特征数据库,这就如同公安部门必数据库都比较死板,遇到“变脸”创建满足实际需要的特征数据样板何创建特征进行介绍,希望能帮助 一、特征(signature......
