-
何谓BMP网页木马?它和过去早就用臭了的MIME头漏洞的木马不同,MIME木马是把一个EXE文件用MIME编码为一个EML(OUT LOOK信件)文件,放到网页上利用IE和OE的编码漏洞实现自动下载和执行。
然而BMP木马就不同,它把一个EXE文件伪装成一个BMP图片文件,欺骗IE自动下载,再利用网页中的JAVASCRIPT脚本查找客户端的Internet临时文件夹,找到下载后的BMP文件,把它拷贝到TEMP目录。再编写一个脚本把找到的BMP文件用DEBUG还原成EXE,并把它放到注册表... -
发布先锋无组件上传安全漏洞补丁 - [asp资料]2009-10-22
前一阵发现现有多数网站广泛采用的先锋上传组件存在安全漏洞,攻击者可借此攻击网站并导致网站服务器dllhost停止响应。原理很简单,源程序没有对提交的文件扩展名的有无进行判断就进行检验,遇到提交无扩展名的文件,服务dllhost因程序错误而挂起,黑客可以反复提交无扩展名文件来攻击服务器,造成服务器的停止响应。
补丁如下:
找到无组件上传class中这样一句:“oFileInfo.FileName = GetFileName(sFileName)”... -
js动态添加属性事件的方法总结 - [其他资料]2009-08-31
方法一、setAttribute
var obj = document.getElementById("obj");
obj.setAttribute("onclick", "javascript:alert('测试');");
这里利用 setAttribute 指定 onclick 属性, 但是:用 setAttribute 设置 style、onclick、onmouseover 这些属性在 IE 中是行不通的。但是... -
谁说js没有Request.QueryString? - [其他资料]2009-08-31
[html]
<script>
String.prototype.QueryString = function(){
var mystr_Arr = this.substr(1,this.length).split("&");
var myArr = new Array();
for(var i = 0;i<mystr_Arr.length;i++)
{var... -
js实现定时自动刷新功能 - [jsp资料]2009-06-12
"-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Content-Type" content="t... -
js输入时高亮的Excel表格 - [jsp资料]2009-06-12
代码如下:
<!DOCTYPE html PUBLIC "-//W3C//DTD XHTML 1.0 Transitional//EN" "http://www.w3.org/TR/xhtml1/DTD/xhtml1-transitional.dtd">
<html xmlns="http://www.w3.org/1999/xhtml">
<head>
<meta http-equiv="Cont... -
PHP视频教程 全35讲rmvb格式下载 - [php资料]2009-06-11
PHP视频教程_01第一章了解PHP
迅雷高速下载
PHP视频教程_02第二章PHP语法结构
迅雷高速下载
PHP视频教程_03第三章PHP函数库
迅雷高速下载
PHP视频教程_04第四章了解MySQL
迅雷高速下载
PHP视频教程_05第五章MySQL语言结构
迅雷高速下载
PHP视频教程_06第六章MySQL数据类型06
迅雷高... -
曹鹏PHP+MySQL视频教程下载 - [php资料]2009-06-11
1、须知 PHP [电信][网通]
PHP的执行流程 [电信][网通] 演示文档的下载 [电信][网通]
演示文档的安装 [电信][网通] 选择PHP编辑器 [电信][网通]
PHP/HTML 互嵌 [电信][网通] HELLO WORLD [电信][网通] 注释 [电信][网通] 2、... -
C#对XML文件的读写 - [.net资料]2009-06-10
前天研究了下XML,主要是为了实现一些配置文件、用户数据的保存,因为EXE文件没办法保存用户数据的,通常我们使用ini文件保存程序配置文件,或者文本文件(txt),也可以通过加密保存数据比如部分.dat等很少见的文件后缀名,均很可能是加密过的数据文件。某些应用程序,还会把部分数据存放在注册表、数据库(很少见)等等,方法很多,.net开始,XML文件就流行起来了(个人看法)
为什么要保存用户数据呢?
举个简单的例子:
腾讯QQ的登录界面窗口中,可以选择自动登录、记住密码、... -
ASP短日期格式转为长日期方法详解 - [asp资料]2009-06-08
2009-6-9转换为2009-06-09
方法一:
year(now) & String(2-len(month(now)), "0") & month(now) & String(2-len(day(now)), "0") &&nb... -
Windows2003服务器安装及设置教程—软件安装与设置篇—ASPJPEG安装图解 - [其他资料]2009-06-04
常用组件主要包括Aspjpeg、Jmail、LyfUpload、动易、ISAPI_ReWrite等,本文就仅说这5种,其他类型组件可以根据需要安装,安装方法以此类推。
AspJpeg安装图解(如需引用或者转载此文,请注明作者:含笑,出处:http://www.juyo.org)
下载AspJpeg,这里提供一个我使用的版本:AspJpeg 1.9。[URL=upload/2008/3/AspJpeg1.9.rar]AspJpeg1.9.rar[... -
Windows2003服务器安装及设置教程—系统安装篇 - [其他资料]2009-06-04
前言
本安装及设置教程适用于使用Windows2003为操作系统的服务器,目的是让服务器支持常见网络编程语言包括ASP、PHP、.Net1.1、.Net2.0,支持常见数据库包括Access、MySQL、MSSQL,支持FTP,支持常见组件包括Aspjpeg、Jmail、LyfUpload、动易、ISAPI_ReWrite。
本教程共分八篇:系统安装与设置篇、软件安装与设置篇、文件及文件夹权限篇、系统服务篇、安全策略篇、系统组件篇、注册表篇、软... -
Windows2003安装详细图解 - [其他资料]2009-06-04
系统要求-----对基于x86的计算机:建议使用一个或多个主频不低于550MHz(支持的最低主频为133MHz)的处理器。每台计算机最多支持8个处理器,建议使用Intel Pentium/Celeron系列、AMD K6/Athlon/Duron系列或兼容的处理器。建议最少使用128MB的RAM,最大支持32GB。对基于Itanium体系结构的计算机:使用一个或多个主频不低于733MHz的处理器。每台计算机最多支持8个处理器。RAM最小为1GB,最大为64GB。硬盘可用空间,在基于x86的计算机上,...
-
在Winodows7orVista下利用IIS配置PHP,MySQL,PhpMyAdmin(图文详解) - [php资料]2009-06-03
在Winodows 7 or Vista下利用IIS配置PHP,MySQL,PhpMyAdmin(图文) This is a discussion on 在Winodows 7 or Vista下利用IIS配置PHP,MySQL,PhpMyAdmin(图文) within the Web Server 技术 forums, part of the 技术交流专区 category; 为了在Windows 7 BETA下配置PHP的WEB服务器,首先想到就是Apache+M...
-
动网论坛上传文件漏洞的原理以及攻击的代码实现(老问题) - [其他资料]2009-10-22
DVBBS7.0 SP2以下通杀.虽然有些
人已经知道了攻击方法,但是还是存在一些问题.下面我就动网的这个漏洞做一下讲解.(不知道会不会被人
骂,因为这个漏洞实在太大了).
我们先看一下动网论坛上传文件的相关代码:
'===========无组件上传(upload_0)====================
sub upload_0()
set upload=new UpFile_Class ''建立上传对象
upl... -
先锋无组件上传类(杜绝上传漏洞版) Ver20049 - [asp资料]2009-10-22
<%
'--------------------------------------------------------------------------------------------
'转发时请保留此声明信息,这段声明不并会影响你的速度!
'******************* 先锋无组件上传类(杜绝上传漏洞版) Ver2004 ********************
'作者:梁无惧、孙立宇、... -
无组件上传中禁止ASP木马上传代码,ASP下测试通过 - [asp资料]2009-10-22
Function CheckASP(Byval sFileName)
dim FStream,stamp,sData
Set FStream=Server.createobject(”ADODB.Stream”)
FStream.Open
FStream.Type=1
FStream.LoadFromFile sFileName
FStream.position=0
stamp=FStream.read... -
数据库安全收录:Sql Server应用程序的高级Sql注入 - [数据库资料]2009-10-22
[目 录]
[概要]
[介绍]
[通过错误信息获取信息]
[更深入的访问]
[xp_cmdshell]
[xp_regread]
[其他扩展存储]
[联合服务器]
[用户自定义扩展存储]
[向表中导入文本文件]
[利用BCP创建文本文件]
[SQL-Server里的ActiveX 脚本]
[存储过程]
[高级Sql注入] ... -
2个检测ASP图片木马的函数 - [asp资料]2009-10-22
'*******************************************************************************************************************************
' 函数说明:检测ASP图片木马的函数。由于FSO无法读取客户端文件的内容,所以只能在文件上传到服务器后再打开文件进行内容检查。
' 木马原理:入侵者使用诸如ASP图片木马生成器之类的工具将一张正常的图片与一个ASP木马文件合... -
ASP木马Webshell之安全防范解决办法 - [asp资料]2009-10-22
文章简介:本文将为大家介绍在MicrosoftWin系列SERVER(IIS5.0、IIS6.0)中如何简单快速解决ASP中危险组件对WEB服务器系统的安全威胁之详细防范设置步骤;读完本文,您将可以使您的网站服务器免去ASP木马、Webshell所面对的提升权限、甚至危害到系统安全的威胁。
本文作者:李泊林/LeeBolin资深系统工程师、专业网络安全顾问。已成功为国内多家大中型企业,ISP服务商提供了完整的网络安全解决方案。尤其擅长于整体网络安全方案的设计、大型网络工程的策划... -
一个网站里面除了asp文件,再就数图片文件最多了,它让我们的网页"美丽动人"嘻嘻,但是你有没有想到过这里面暗藏的杀机,图片也可以是asp木马。
asp木马已经出现很长时间了,种类也越来越多,但是说到隐蔽性,我们红魂老大写的--冰狐浪子asp
后门还是我众马中的首选,现在我们就把它作成图片asp木马。
首先我们把冰狐浪子asp木马服务端直接该后缀名为gif,记得用容错格式:
<SCRIPT RUNAT=SERVER LA... -
ewebeditor漏洞解決方法 - [其他资料]2009-10-22
1,修改admin的密碼.
2,upload.asp中的
' 任何情況下都不允許上傳asp腳本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
改為:
' 任何情況下都不允許上傳asp腳本文件
sAllowExt = Replace(UCase(sAllowExt), "ASP", "")
sAllowExt = Replace(UCase(sAllowExt), ...
web编程网
asp,php,jsp,.net实例,教程,资源,资料,书籍
