Dns是整个互联网公司业务的基础，目前越来越多的互联网公司开始自己搭建DNS服务器做解析服务，同时由于DNS服务是基础性服务非常重要，因此很多公司会对DNS服务器进行主备配置而DNS主备之间的数据同步就会用到dns域传送，但如果配置不当，就会导致任何匿名用户都可以获取DNS服务器某一域的所有记录，将整个企业的基础业务以及网络架构对外暴露从而造成严重的信息泄露，甚至导致企业网络被渗透。

关于该漏洞的详细说明，GaRY已经在zone中的一文中说的很清楚，因此本文主要的作用是科普下ROR的知识，大牛们请止步.

本文主要讨论如何通过一个sql inject 来最大限度的取得各种信息和权限，文章绝大多数技术都是前人提出，膜拜各位牛人 的同时，也非常感谢牛人们的分享，上帝与你们同在 ：） 本文仅起着总结作用，测试数据库分别为：Oracle Database 10g Enterprise Edition Release 10.2.0.1.0 和Oracle Database 11g Enterprise Edition Release 11.2.0.1.0 ，默认是 Oracle Database 10g Enterprise Edition Release 10.2.0.1.0最后，倘若您有更好的见解或者方法，请不吝赐教

来源：http://www.ibm.com/developerworks/cn/java/j-lo-javasecurity/

作为一种诞生于互联网兴起时代的语言，Java 从一开始就带有安全上的考虑，如何保证通过互联网下载到本地的 Java 程序是安全的，如何对 Java 程序访问本地资源权限进行有限授权，这些安全角度的考虑一开始就影响到 Java 语言的设计与实现。可以说 Java 在这些方面的探索与经验，对后来的一些语言与产品都带来了积极影响。 本篇文章中将介绍 Java 中安全模型，以及如何利用安全访问控制机制来实现一些特定目的。

这篇迟到了近一年的paper是对WooYun: Gmail某处XSS可导致账号持久劫持漏洞的详细说明,赶在世界末日发布,希望不会太晚.:)

首先,在本地主机（假设为目标主机）  新建一个wooyun用户,并为之设置密码,然后通过gethashes.exe获取到HASH 

```
C:>net user wooyun test 

The command completed successfully.