2022-05-07
/2016-06-24
/打开亚马逊,当挑选一本《Android4高级编程》时,它会不失时机的列出你可能还会感兴趣的书籍,比如Android游戏开发、Cocos2d-x引擎等,让你的购物车又丰富了些,而钱包又空了些。关联分析,即从一个数据集中发现项之间的隐藏关系。
在Web攻防中,SQL注入绝对是一个技能的频繁项,为了技术的成熟化、自动化、智能化,我们有必要建立SQL注入与之相关典型技术之间的关联规则。在分析过程中,整个规则均围绕核心词进行直线展开,我们简单称之为“线性”关联。以知识点的复杂性我们虽然称不上为神经网络,但它依然像滚雪球般对知识架构进行完善升级,所以也可称之为雪球技术。
2016-06-17
/DB2是IBM公司推出关系型数据库管理系统。
现今DB2主要包含以下三个系列:
2015-12-16
/近日,Joomla再曝高危0day漏洞,可进行远程命令执行,阿里云云盾昨日已上线相应的拦截规则抵御该漏洞。同时,对云托管客户已经做了电话通知和自动漏洞修复。统计数据显示,截至16日凌晨,已有数百个恶意IP尝试使用该漏洞对阿里云网站发起攻击,云盾已成功拦截上万次攻击请求,其中攻击请求数排名第一的黑客在一小时内尝试入侵超过1000个 Joomla 网站。
2015-09-10
/对于白帽子来说,最钟爱的SQL
注入工具莫过于sqlmap
。随着攻防对抗的升级,sql
注入漏洞呈明显下降的趋势,同时也呈现出难发现、难利用的特点。在实际测试的时候发现,有时明明手工确认的注入,丢进sqlmap
确无法识别出来。于是乎就有了各种py
脚本来跑数据。通常找到一个注入在sqlmap
识别不出或者无法跑出数据的情况下,到处找合适的脚本,然后再修改,如果对PY脚本熟悉,可能也来的快,但是假如对PY
脚本不是很熟悉,每次必然花费大量精力和时间在此上面。因此在常用工具无法识别SQL
注入或者无法跑出数据的时候,用VC
做一个通用GU
I框架,采用半自动、多线程并发的方式来进行SQL
盲注,就显得既方便又节约时间。程序界面设计如图(
2015-08-26
/对于使用了DBMS_AW
、OLAP_TABLE
或任何OLAP*函数
的Oracle OLAP
应用程序来说,都将面临着一种新型的注入威胁。归根结底,这是由于SQL
和OLAP DML
之间的语法差异所导致的。最终结果就是,攻击者可以利用这一点,以较高的权限来执行任意的SQL操作。
2015-08-25
/此文为BIGINT Overflow Error Based SQL Injection
的具体发现与实践
from:https://osandamalith.wordpress.com/2015/07/15/error-based-sql-injection-using-exp/
2015-08-19
/现在仅支持MySQL、Microsoft SQL Server,以及一部分ORACLE和PostgreSQL。大部分样例都不能保证每一个场景都适用。现实场景由于各种插入语、不同的代码环境以及各种不常见甚至奇特的SQL语句,而经常发生变化。
样例仅用于读者理解对于“可能出现的攻击(a potential attack)”的基础概念,并且几乎每一个部分都有一段简洁的概要
2015-08-18
/这是这几天一直关注的漏洞了,wordpress
上个礼拜发布的4.2.4版本,其中提到修补了可能存在的SQL漏洞和多个XSS。Check point
也很快发出了分析,我也来分析与复现一下最新的这个漏洞。
2015-08-18
/我对于通过MySQL错误提取数据的新技术非常感兴趣,而本文中要介绍的就是这样一种技术。当我考察MySQL的整数处理方式的时候,突然对如何使其发生溢出产生了浓厚的兴趣。下面,我们来看看MySQL是如何存储整数的。
2015-03-20
/原文地址: http://arxiv.org/ftp/arxiv/papers/1303/1303.3047.pdf
原文作者: Miroslav Štampar
本文描述了一种利用DNS解析过程获取恶意SQL查询结果的先进的SQL注入技术。带有sql查询结果的DNS请求最终被攻击者控制的远程域名服务器拦截并提取出宝贵的数据。