空想枫 » security

开源防SQL注入工具-GreenSQL

David — Wed, 09 Dec 2009 14:16:07 +0000

GreenSQL最近出了1.2.0版本。目前只支持MySQL和PostgreSQL的保护。

采用如上架构图的代理方式，代理默认运行于3305端口，由于MySQL默认运行于3306端口，原应用只需要修改数据库端口就可以。

GreenSQL的web管理界面

No related posts.

iPhone破解手机请立即修改密码

David — Tue, 03 Nov 2009 03:01:34 +0000

国内的iPhone手机用户们，为解决破解版本iPhone的巨大安全漏洞，请立即修改iPhone 手机的root和mobile用户的密码。 1.安装mobileterminal，如果你的机器上没有这个App的话。 2.打开该App后，逐条运行如下命令： passwd root passwd mobile 每执行一条命令后，需要重复输入两次你想设置的密码(新设密码建议包含字母大小写及数字)。如果提示没有权限的信息。请先执行如下命令: su root 3.完成，并记住自己重新设置的密码。 Related posts:iPhone 2.2.1破解发布(QuickPWN2.2.1) links for 2006-08-06 links for 2006-08-11 PwnageTool 2.0.3 破解发布 links for 2006-08-05 © David for 空想枫, 2009. | Permalink | No comment | Add to del.icio.us Post tags: iPhone, jailbreak, security Related posts:

微软紧急安全补丁(MS08-067)

David — Fri, 24 Oct 2008 08:28:53 +0000

该补丁修正了Windows Server服务在处理RPC请求时的漏洞，该漏洞属于“紧急”级别。远程攻击者可以利用该漏洞远程入侵并完全控制系统。请立即更新该补丁！

该漏洞基本影响主流微软操作系统，包含:Microsoft Windows 2000, Windows XP, Windows Server 2003, Windows Vista,Windows Server 2008.

英文系统下载补丁链接:
Microsoft Windows 2000 Service Pack 4
Windows XP Service Pack 2
Windows XP Service Pack 3
Windows XP Professional x64 Edition
Windows XP Professional x64 Edition Service Pack 2
Windows Server 2003 Service Pack 1
Windows Server 2003 Service Pack 2
Windows Server 2003 x64 Edition
Windows Server 2003 x64 Edition Service Pack 2
Windows Server 2003 with SP1 for Itanium-based Systems
Windows Server 2003 with SP2 for Itanium-based Systems
Windows Vista and Windows Vista Service Pack 1
Windows Vista x64 Edition and Windows Vista x64 Edition Service Pack 1
Windows Server 2008 for 32-bit Systems
Windows Server 2008 for x64-based Systems
Windows Server 2008 for Itanium-based Systems

注:根据你的操作系统版本点击相应的链接下载。

如果你的系统是中文的直接看下面部分:
Windows XP 安全更新程序 (KB958644)
Windows 2000 安全更新程序 (KB958644)
Windows Server 2003 安全更新程序 (KB958644)

DNS漏洞大问题

David — Wed, 09 Jul 2008 10:42:38 +0000

当全球的各类安全站点都在介绍最近的DNS漏洞问题时,今天检查了电信和网通的几个DNS Server,还没有一个服务器被更新。

简单描述一下问题严重性,本次的漏洞可能导致我们的整个域名系统被欺骗,重定向任何域名到虚假地址。

CVE信息:CVE-2008-1447,可参考US-CERT的Vulnerability Note VU#800113(Multiple DNS implementations vulnerable to cache poisoning) 进行相应的处理。

今天大部分的厂商都发布了相应的补丁或升级,麻烦更新一下吧,各位DNS的网管。

ratproxy Web应用安全审计工具

David — Thu, 03 Jul 2008 13:33:45 +0000

Michal Zalewisk发布于Google Code的开源Web应用安全审计工具,版权归属于Google。

A semi-automated, largely passive web application security audit tool, optimized for an accurate and sensitive detection, and automatic annotation, of potential problems and security-relevant design patterns based on the observation of existing, user-initiated traffic in complex web 2.0 environments.

Detects and prioritizes broad classes of security problems, such as dynamic cross-site trust model considerations, script inclusion issues, content serving problems, insufficient XSRF and XSS defenses, and much more.

该工具目前支持Linux,FreeBSD,MacOS X,Windows(Cygwin)。文档链接:ratproxy详细文档.
报告实例见内文:

(...)
Read the rest of ratproxy Web应用安全审计工具 (0 words)

WordPress 漏洞扫描插件

David — Sun, 29 Jun 2008 06:21:17 +0000

这个插件能对你wordpress站点的文件和数据库进行扫描,并发现文件或数据库的可疑行为。安装: 1.下载并解压缩该文件。 2.上传exploit-scanner目录到你服务器的plugin目录。 3.访问你的后台Plugins管理页面，激活这个插件。 4.可以在Dashboard看到一个新的菜单项"Exploit Scanner"。注意:扫描你的站点需要一定的时间，因此请在你的站点服务器比较空闲时使用。下载链接:exploit-scanner.0.1.zip (md5:6a88a18a37c4add7dabd72fc97be13b6) Related posts:WordPress 2.6 Beta 1发布 WordPress 2.6(Tyner) 发布 WordPress 2.3 Beta 1需要测试者 WordPress 中文站点发布 links for 2006-06-27 Related posts:

微软建议用于抵御SQL注入的免费工具

David — Wed, 25 Jun 2008 03:26:46 +0000

介绍三个免费工具，帮助你来实现SQL注入漏洞的检查，发现SQL注入漏洞，并阻止SQL注入漏洞对你网站的影响。 (...)Read the rest of 微软建议用于抵御SQL注入的免费工具 (44 words) © David for 空想枫, 2008. | Permalink | No comment | Add to del.icio.us Post tags: free, security, software, sqls Related posts: