张百川(网路游侠)的博客

张百川(网路游侠,www.youxia.org)专注:网络安全、系统安全、应用安全、数据库安全、运维安全。

导航

分页:« 首页...«1[2] [3] [4] »...尾页 »

[置顶] 张百川(网路游侠)安全博客——提供安全产品代购服务

[置顶] 欢迎给www.youxia.org投稿-信息安全QQ群欢迎加入!

2010年6月28日

风讯网站管理系统awardAction.asp页面存在SQL注入

发布日期:2010-06.26
信息来源:WAVDB
影响版本:FooSun > 5.0
程序介绍:FoosunCMS是一款具有强大的功能的基于ASP+ACCESS/MSSQL构架的内容管理软件。
漏洞分析:
在文件\User\award\awardAction.asp中:
Integral=NoSqlHack(request.QueryString("Integral")) //第14行
if action="join" then
User_Conn.execute("Insert into FS_ME_User_Prize (prizeid,usernumber,awardID) values("&CintStr(prizeID)&",'"&session("FS_UserNumber")&"',"&CintStr(awardID)&")")

More...

Tags: 风讯漏洞  Foosun  FoosunCMS  
发布:网路游侠 | 分类:程序数据 | 评论:0 | 引用:0 | 浏览:

2010年6月24日

数据库安全十大漏洞

  这篇文章给出了一个国外厂商调查分析出来的十大数据库安全漏洞:
  1.默认、空白及弱用户名/密码
  2.SQL注入
  3.广泛的用户和组权限
  4.启用不必要的数据库功能
  5.失效的配置管理
  6.缓冲区溢出
  7.特权升级
  8.拒绝服务攻击
  9.数据库未打补丁
  10.敏感数据未加密
  
  此前,另一个公司也给出过数据库安全十大威胁,两者基本一致。
  威胁 1 - 滥用过高权限
  威胁 2 - 滥用合法权
  威胁 3 - 权限提升
  威胁 4 - 平台漏洞

More...

Tags: 数据库安全  数据库审计  数据库防御  
发布:网路游侠 | 分类:程序数据 | 评论:0 | 引用:0 | 浏览:

2010年1月16日

网路游侠——Nessus 4.2.0 安装完用浏览器打不开的解决方法

  不止在一个地方看到说安装了Nessus 4.2.0后,能ping通Server,但用浏览器却连不上的情况。昨天游侠(www.youxia.org)也遇到了……开启服务后,能ping通服务器,就是浏览器连不上。8834端口也没起来。于是仔细在网上搜了下,实际上很好解决……因为如果你的安装过程没错的话(实际上就是“Next”到底,也很难出错),那么在输入激活码之后,需要的仅仅是等待……是的,仅仅是

More...

Tags: Nessus  Nessus连不上  
发布:网路游侠 | 分类:程序数据 | 评论:0 | 引用:0 | 浏览:

2009年12月23日

保护数据库安全 实时合规审计必不可少

  目前数据库市场价值已经超过200亿美元,并且存储的敏感信息的数量也在迅速增长,这也难怪数据库成为当今安全攻击的最大目标。毕竟,数据库包含着客户信用卡信息、金融数据和知识产权等“诱饵”。有些强大而复杂的攻击者能够通过非法途径打开数据库以进行恶意操作,你甚至可以将数据库看作是公司的命脉。

  在很多企业中,对数据库访问的特权都有管理不当的问题。开发者、移动员工和外部顾问经常能够在没有太多限制的情况下访问敏感信息。另外,人员流动和外包也可以让数据库活动很难锁定。

  虽然数据库要求符合大多数合规要求,包括信用卡行业数据安全标准(PCI DSS)、Sarbanes-Oxley法案和HIPAA法案以及FISMA等,但是数据库往往很难满足所有合规要求,并且合规并不总是企业的最优先事项。

More...

Tags: 数据库安全  数据库审计  合规审计  
发布:网路游侠 | 分类:程序数据 | 评论:0 | 引用:0 | 浏览:

2009年8月25日

“安鼎数据库安全访问中间件”简介

  概述
  安鼎数据库安全访问中间件是为增强普通关系数据库管理系统的安全性而设计开发的,旨在提供一个安全适用的数据库加密平台,对通信和数据库存储的内容实施有效保护。
  该系统中通过通信加密、数据库存储加密等安全方法实现了数据库数据存储和通信的保密和完整性要求。具有自主知识产权的加密算法和密文查询算法在保证安全性的同时兼顾了系统的效率,使数据库的加密达到实用化水平。
  系统采用开放的体系结构,支持标准SQL语句,提供了ODBC、OLEDB和JDBC支持,也提供调用级接口(CLI)。
  系统已经运行的平台有AIX、Solaris、Sco Open Server、Linux、Windows NT/2000/XP,支持的数据库管理系统有DB2、Oracle、Sybase、Microsoft SQL Server。

More...

Tags: 华工安鼎  安鼎数据库安全访问中间件  数据库安全  安全中间件  
发布:网路游侠 | 分类:程序数据 | 评论:0 | 引用:0 | 浏览:

2009年7月23日

GUARDIUM数据库安全审计解决方案特点和优势

  GUARDIUM数据库安全审计解决方案的突出特点和优势:
  1.可以同时支持监控管理多种数据库(ORACLE/SYBASE/INFORMIX/DB2/SQL SERVER/TERADATA/MYSQL )的各种版本;
  2.同时支持多种企业级应用(ORACLE E-BUSINESS SUITE/PEOPLESOFT/SIEBEL/JD EDWARDS/SAP/BUSINESS OBJECTS)、应用服务器/中间件服务器(WEBSPHERE/WEBLOGIC/TUXEDO/ORACLE APPLICATION SERVER/JBOSS/.NET/APACHE/TOMCAT/MQ & etc);

More...

Tags: 数据库安全  数据库审计  数据库安全审计  数据库监控  
发布:网路游侠 | 分类:程序数据 | 评论:0 | 引用:0 | 浏览:

2009年6月26日

数据库服务器成黑客最爱 7成攻击针对企业数据

  【51CTO.com快译6月22日外电头条】如今顶尖的黑客一定都是顶尖的商人!因为他们的评估记录上会写着哪些目标最简单,哪些目标最有利可图。现在,可能没有比笨拙的企业数据库更好对付的目标了。
  一般来说,企业的数据库中汇集着这家公司最重要的机密:客户名单、工资记录、以及其他许多按照良好结构储存的敏感信息,这些都是最容易卖出好价钱的。何况数据库的管理员们往往不会想在安全性上精益求精,而且数据

More...

Tags: 数据库安全  数据库防护  
发布:网路游侠 | 分类:程序数据 | 评论:0 | 引用:0 | 浏览:

2009年6月25日

专家谈:确保安全 数据库审计成燃眉之急

  随着信息系统业务不断发展,数据库系统应用范围越来越广。企业的账务数据、贸易记录、工程数据等均需要利用大量的数据库资源。
  已成燃眉之急
  由于数据库的作用和影响越来越大,企业数据库信息安全面临的安全威胁日渐明显。近年来不断发生的重要敏感数据被窃取、篡改问题,已经引起各方面的高度重视,成为迫切需要解决的问题。
  威胁与风险并存
  由于企业数据库系统用户众多,涉及数据库管理员、内部

More...

Tags: 数据库审计  数据库安全  数据安全  数据库防护  数据库审计系统  
发布:网路游侠 | 分类:程序数据 | 评论:0 | 引用:0 | 浏览:

2009年6月24日

SA弱口令带来的安全隐患

【51CTO.com 独家特稿】存在Microsoft SQL Server SA弱口令漏洞的计算机一直是网络攻击者青睐的对象之一,通过这个漏洞,可以轻易的得到服务器的管理权限,从而威胁网络及数据的安全。作为网络管理员,我们可不能不闻不问,一定要弄清楚这其中的起因、经过和结果,才能有的放矢,做到更为有效的防范,下面我就详细的向大家介绍一下。Microsoft SQLServer是一个C/S模式的强

More...

Tags: 数据库安全  
发布:网路游侠 | 分类:程序数据 | 评论:0 | 引用:0 | 浏览:

2009年6月23日

MSSQL注入攻击服务器与防护

  前言:在各种网络上的服务器上,只要黑客能成功入侵不同配置的服务器,都会得到一定的权限,比较GUEST或SYSTEM权限等,但这些权限都是由于服务器管理员的配置不当或缺少管理经验而让黑客成功入侵的,只要我们给服务器上各种危险的组件及命令都加上一定的权限设置,那么就会得到最大的安全。下面我们来介绍一下NT系统下权限与黑客的较量,当然的的NT服务器不能是FAT32分区的,你的NT服务器必须采用NTF

More...

Tags: 数据库安全  SQL注入  
发布:网路游侠 | 分类:程序数据 | 评论:0 | 引用:0 | 浏览:
分页:« 首页...«1[2] [3] [4] »...尾页 »

Powered By Z-Blog 1.8 Walle Build 91204 Using ThinkTwice Theme Designed By Sino Blog

Auto Publisher Copyright 2005-2009 Www.YouXia.Org . 陕ICP备05000100号