大西瓜的杂货铺

“This is about as bad as it gets as the vulnerability seems to allow unsigned code to run which circumvents a core part of iPhone’s security model as it’s usually only able to run signed code, i.e. Apps that have been approved by Apple. No user-interaction required which is unlike current mobile malware”

命令行下一种新的加帐号的方法

日期: 2009/07/02 分类: 技术杂文标签: cmd, Shell.Users, wscript.shell, 加帐号添加回复

From：lcx

今天研究了一下用户控制面板文件nusrmgr.cpl，发现调用的是Shell.Users来加用户，它还同时调用了 wscript.shell、Shell.Application、Shell.LocalMachine这三个组件。不过加用户的话，这一个 Shell.Users就足够了。那么可能在删掉了net.exe和不用adsi之外，这也可能是一种新的加用户的方法。代码如下：

阅读全文

Michael Jackson’s death themed malware campaigns spreading

日期: 2009/07/01 分类: 互联网标签: malware, Michael Jackson, 迈克尔·杰克逊添加回复

From：zdnet

The sudden death of Michael Jackson quickly opened a window of opportunity for cybercriminals to capitalize on.

With a malicious spam campaign, blackhat SEO search results poisoning which is serving scareware within the first 100 search results for Michael Jackson’s death, and an opportunistic participant in Zango adware’s network using typosquatting, malicious activity is prone to increase during the next couple of days.

Here are more details on the campaigns currently in circulation:

阅读全文

WordPress Plugin Related Sites 2.1 Blind SQL Injection Vulnerability

日期: 2009/07/01 分类: 技术杂文标签: SQL INJECTION, vulnerability, wordpress 添加回复

WordPress Plugin Related Sites 2.1 BlindSQLinj Vuln

http://wordpress.org/extend/plugins/related-sites/
/wp-content/plugins/related-sites/BTE_RW_webajax.php

eLwaux(c) 30.05.2009, uasc.org.ua

SQL-Inj

27:  $guid = $_POST['guid'];
28:  $click = $_POST['click'];
31:  $ref = $_SERVER["HTTP_REFERER"]; 
阅读全文

今天去看了变形金刚2

日期: 2009/06/30 分类: 搞笑娱乐标签: dota, 变形金刚 6 个回复

晚上被人放鸽子了，但依旧和小胖毛总一起去美嘉的中关村店看了变形金刚2，要说这种电影还是得在电影院里效果才够好啊。回来毛总说了dota和变形金刚的帖子，不忍了，去论坛里面翻了出来，转帖开始：来自北邮人

刚看了变形金刚2，发现就是一场经典的dota比赛啊

擎天柱就是个大后期，在游戏前期其他汽车人gank霸天虎的时候独自打野，结果被霸天虎的3人gank小分队做掉

男主角就是小鸡，在擎天柱被gank掉后发现情况不对，被上面授予去找传说中的roshan盾的任务，途中还遇到了从比赛一开始就打野的天火，天火告诉他roshan已经被7个元老（野怪？？）干掉，盾就在遗体处

阅读全文

WebLogic简单抓鸡大法

日期: 2009/06/30 分类: 技术杂文标签: WebLogic, webshell, 漏洞添加回复

题目：WebLogic简单抓鸡大法
作者：Mickey [I.S.T.O.]&hackest [H.S.T.]

此文章已发表在《黑客X档案》2008年第11期杂志上
后经作者发布在博客上，如转载请务必保留此信息！

Tomcat 估计给很多人带来了N多肉鸡服务器了吧，直接扫描弱口令，进入Tomcat管理后台，上传Webshell就得到一台肉鸡服务器了，操作之简单，效率之高，实在是抓鸡必备！不过这次要介绍的是一个类似于Tomcat的JSP支持平台WebLogic漏洞的简单利用（其实也是默认口令），相比Tomcat 会稍微复杂一些，不过操作起来也是比较容易的。

阅读全文

数据泄露防护（DLP）分域安全简述

日期: 2009/06/29 分类: 技术杂文标签: DLP, 数据泄露防护添加回复

来自：51cto

目前，数据防泄露是信息安全的热点问题。随着网络应用的飞速发展、Internet应用的日益广泛，信息安全问题变得尤为突出。建立完善的数据泄露防护体系、保护核心资源，已迫在眉睫。鉴于目前内部局域网的现状，可以针对数据存储层和数据传输层进行加密，结合文档和数据生命周期，对内部网络分为终端、端口、磁盘、服务器、局域网四大区域，并针对数据库、移动存储设备、笔记本电脑等特例，统一架构，分别防护，实现分域安全。

一、数据泄露的主要威胁

电子文档多以明文方式存储在计算机硬盘中，分发出去的文档无法控制，极大的增加了管理的复杂程度。

阅读全文

Using Threat Models

日期: 2009/06/27 分类: 技术杂文标签: Models, Threat 添加回复

Threat models are a very good way to make implicit security threats and mechanisms, into explicit threats and mechanisms, so that you can write requirements, build, and test that they do the job you intend. As a starting point, I like to use a modified version of STRIDE, which among other things cleanly maps threat to mechanism. This way when starting a new project, for example with SOA Web services, you can identify where the standards will help you.

阅读全文

大西瓜的杂货铺

巨星陨落，一个时代的终结

中关村攒机商们的郁闷

iPhone短信(SMS)代码执行漏洞

命令行下一种新的加帐号的方法

Michael Jackson’s death themed malware campaigns spreading

WordPress Plugin Related Sites 2.1 Blind SQL Injection Vulnerability

今天去看了变形金刚2

WebLogic简单抓鸡大法

数据泄露防护（DLP）分域安全简述

Using Threat Models

订阅我的博客

广告位

最近文章

最近评论

分类目录

友情链接

文章索引模板

百度推广

功能