新的SQL注入攻击已经感染12.5万个网站
据互联网安全和监视公司ScanSaf说,从11月末开始出现的一种新的和非常复杂的SQL注入攻击已经感染了12.5万过个网站。感染网站的木马程序将收集用户的信用卡号码和其它银行信息。据介绍,注入的iframe装载来自318x.com网站的第一阶段的恶意代码。然后,用户看不见的一系列iframe和代码重新定向将悄悄地在用户系统中安装来自windowssp.7766.org网站的攻击代码Backdoor.Win32.Buzus.croo。
百度旅游页面上线 提供五一假期搜索
4月23日消息,随着五一假期的来临,百度旅游页面(lvyou.baidu.com)上线。不少网民会在网上搜索出游地点、热门旅行社等,该专题在搜索整合方面为用户提供了便利。“百度旅游”包括旅游焦点新闻、国内外热门景点、景点风光照、最热旅游社等,同时整合百度搜索、百度知道的内容,提供旅游出行方面的资讯搜索服务。
不过我们也看到,可能是百度旅游上线时间较短的缘故,目前右上角的“天气查询”暂时指向有误。目前来看,百度旅游是为五一假期特别制作的一个页面。那么以后是否会和相关网站合作,提供更多旅游服务内容呢?我们会继续关注。
MySQL常用命令集结
一) 连接MYSQL:
格式: mysql -h主机地址 -u用户名 -p用户密码
1、例1:连接到本机上的MYSQL
首先在打开DOS窗口,然后进入mysql安装目录下的bin目录下,例如: D:\mysql\bin,再键入命令mysql -uroot -p,回车后提示你输密码,如果刚安装好MYSQL,超级用户root是没有密码的,故直接回车即可进入到MYSQL中了,MYSQL的提示符是:mysql>
2、例2:连接到远程主机上的MYSQL
世界头号黑客称奥巴马超级加密黑莓手机可被攻破
当奥巴马的黑莓手机被称经过“超级加密”之后,世界上最著名的黑客Kevin Mitnick称,它仍然可以被攻破。他称,奥巴马的超级加密黑莓仅仅使得攻击变得更具有挑战性,但是攻击仍然可以实现。Mitnick称:“这可能是个成功几率比较小的尝试,你需要更加精湛的技术,但是这样的人在(监狱)外面有的是”。
卡巴斯基敏感信息数据库遭黑客入侵
北京时间2月9日早间消息,据国外媒体报道,一名黑客上周六声称,已成功侵入知名互联网安全厂商卡巴斯基的一个敏感信息数据库,并获得了有关卡巴斯基产品及其客户的敏感数据。
该名黑客称,仅通过简单的SQL注入即可入侵卡巴斯基的敏感信息数据库,其中包括用户名录、验证码和Bug列表等敏感数据。为证明其真实性,该黑客还贴出了相关图片。
你需要了解的10个关于php.ini的安全配置选项
1,allow_url_fopen:选项允许你如同本地文件一样引用远程资源.推荐关闭allow_url_fopen选项.
2,disable_functions:选项是非常有用的,它可以确保一些有潜在威胁的函数不能被使用。尽管可以建
立规范去禁止使用这些函数,但在PHP配置中进行限制要比依赖于开发时限制要可靠得多。
3,display_errors:PHP的错误报告可以帮助你发现你所写代码中的错误,把错误提示显示出来是取得即时
反馈的有效方法,同时也可以加快开发速度,开发测试完后建议你关闭display_errors选项。
4,enable_dl:选项用于控制dl()函数是否生效,该函数允许在运行时加载PHP扩展.用dl()函数可能导致
攻击者绕过open_basedir限制,因此除非有必要,建议禁用.
5,error_reporting:很多安全漏洞是由于使用了未初始化的变量或其它随意的编程方法引起的.
通过把PHP的error_reporting选项置为E_ALL 或 E_ALL | E_STRICT,PHP就会对上述行为进行提示。这
些设置都为报告Notice级别的错误。建议把error_reporting至少设定为E_ALL.
继续阅读…
如何解决网站数据库访问权限暴露问题?
数据库使用中需要关注的主要问题之一是访问权限即用户名及密码的暴露。在编程中为了方便,一般都会用一个db.inc文件保存,如:
CODE:
<?php
$db_user = ‘myuser’;
$db_pass = ‘mypass’;
$db_host = ’127.0.0.1′;
$db = mysql_connect($db_host, $db_user, $db_pass);
?>
用户名及密码都是敏感数据,是需要特别注意的。他们被写在源码中造成了风险,但这是一个无法避免的问题。如果不这么做,你的数据库就无法设置用户名和密码进行保护了.如果你读过http.conf(Apache的配置文件)的默认版本的话,你会发现默认的文件类型是text/plain(普通文本).
3款防止SQL注入检测免费工具
1,Scrawlr 下载地址:https://download.spidynamics.com/Products/scrawlr/
这个微软和 HP合作开发的工具,会在网站中爬行,对所有网页的查询字符串进行分析并发现其中的 SQL INJECTION 风险。Scrawlr 使用了部分 HP WebInspect 相同的技术,但只检测 SQL INJECTION 风险。Scrawlr 从一个起始 URL 入口,爬遍整个网站,并对站点中所有网页进行分析以找到可能存在的漏洞。
2,Microsoft Source Code Analyzer for SQL Injection
下载地址:http://www.microsoft.com/downloads/details.aspx?FamilyId=58A7C46E-A599-4FCB-9AB4-A4334146B6BA&displaylang=en
这款被称作 MSCASI 的工具可以检测 ASP 代码并发现其中的 SQL INJECTION 漏洞(ASP 代码以 SQL INJECTION 漏洞著称),你需要向 MSCASI 提供原始代码,MSCASI 会帮你找到存在风险的代码位置。
