Category Archives: TECH

日他吗电信绿色上网

这两天发现浏览器总是不定时会有弹出窗口,例如在访问一些网址的时候(比如:http://www.playes.net),就会返回如下代码:

<HTML><script language=”JavaScript”>
function newwin()
{var urlname;var win_attr;win_attr=’toolbar=no,menubar=no,scrollbars=no, status=no,location=no,resizable=no,fullscreen=no,directories=no, width=1,height=1,top=5000,left=5000′; window.open(‘http://59.42.71.245:9123/ Blank.aspx?param=ABdXNlcm5hbWU9Z3pMQU5nejIzN DU2N0AxNjMuZ2QmcG9saWN5aWQ9MTIx’,’ips_win0′,win_attr);
}
</script>
<head><title></title>
<META HTTP-EQUIV=”Pragma” CONTENT=”no-cache”>
<META http-equiv=”Content-Type” content=”text/html;charset=gb2312″>
<meta http-equiv=”Refresh” content=”0; url=http://www.playes.net/”>
</head><body onload=’newwin()’> </body></html> Continue reading

Javascript’s Event 的一点总结

我在自己的这个 Blog 上用 Javascript 实现了一个自定义的右键弹出菜单。个人认为鼠标点击事件的获取和计算是比较难点的事情。一般以为考虑兼容性(如 IE 5/6FF),实际上还要考虑 HTML 文件在文件头的定义。而且,Event 事件和 Document 对象在 IE 和 NS 下又有各自不同的定义和用法。呼~经过对这个菜单的不断修改和上网搜索资料,在这里总结一下,希望对其他朋友有个帮助。

下面是“无定义 HTML 的 Event 事件”的测试代码,存为 Event1.html,分别用 IE 和 Firefox 打开,点击页面就可看到结果。

<html>
<head>
<meta http-equiv=”Content-Type” content=”text/html; charset=gb2312″>
<title>无定义 HTML 的 Event 事件</title>
<script language=”javascript”>
function getvalue(e){
if (!document.all){
winW = window.innerWidth;
winH = window.innerHeight;
curX = e.pageX – window.pageXOffset;
curY = e.pageY – window.pageYOffset;
mouX = e.pageX;
mouY = e.pageY;
broX = window.pageXOffset;
broY = window.pageYOffset;
}else{
winW = document.body.clientWidth;
winH = document.body.clientHeight;
curX = event.clientX;
curY = event.clientY;
mouX = event.clientX + document.body.scrollLeft;
mouY = event.clientY + document.body.scrollTop;
broX = document.body.scrollLeft;
broY = document.body.scrollTop;
}
alert(” 窗口可见宽度(winW): “+winW+”\n\n 窗口可见高度(winH): “+winH+”\n\n 距窗口左边距离(curX): “+curX+”\n\n 距窗口顶部距离(curY): “+curY+”\n\n 距页面左边距离(mouX): “+mouX+”\n\n 距页面顶部距离(mouY): “+mouY+”\n\n 页面滚动的宽度(broX): “+broX+”\n\n 页面滚动的高度(broY): “+broY);
return true;
}
document.onclick=getvalue;
</script>
</head>

<body>
<img src=”” width=”400″ height=”500″>
</body>
</html>

Continue reading

Web 网页安全色谱

Snow 255 250 250 #FFFAFA
GhostWhite 248 248 255 #F8F8FF
WhiteSmoke 245 245 245 #F5F5F5
Gainsboro 220 220 220 #DCDCDC
FloralWhite 255 250 240 #FFFAF0
OldLace 253 245 230 #FDF5E6
Linen 250 240 230 #FAF0E6
AntiqueWhite 250 235 215 #FAEBD7
PapayaWhip 255 239 213 #FFEFD5
BlanchedAlmond 255 235 205 #FFEBCD
Bisque 255 228 196 #FFE4C4
PeachPuff 255 218 185 #FFDAB9
NavajoWhite 255 222 173 #FFDEAD
Moccasin 255 228 181 #FFE4B5
Cornsilk 255 248 220 #FFF8DC
Ivory 255 255 240 #FFFFF0
LemonChiffon 255 250 205 #FFFACD
Seashell 255 245 238 #FFF5EE
Honeydew 240 255 240 #F0FFF0
MintCream 245 255 250 #F5FFFA
Azure 240 255 255 #F0FFFF
AliceBlue 240 248 255 #F0F8FF
lavender 230 230 250 #E6E6FA
LavenderBlush 255 240 245 #FFF0F5
MistyRose 255 228 225 #FFE4E1
White 255 255 255 #FFFFFF
Black 0 0 0 #000000
DarkSlateGray 47 79 79 #2F4F4F
DimGrey 105 105 105 #696969
SlateGrey 112 128 144 #708090
LightSlateGray 119 136 153 #778899
Grey 190 190 190 #BEBEBE
LightGray 211 211 211 #D3D3D3
MidnightBlue 25 25 112 #191970
NavyBlue 0 0 128 #000080
CornflowerBlue 100 149 237 #6495ED
DarkSlateBlue 72 61 139 #483D8B
SlateBlue 106 90 205 #6A5ACD
MediumSlateBlue 123 104 238 #7B68EE
LightSlateBlue 132 112 255 #8470FF
MediumBlue 0 0 205 #0000CD
RoyalBlue 65 105 225 #4169E1
Blue 0 0 255 #0000FF
DodgerBlue 30 144 255 #1E90FF
DeepSkyBlue 0 191 255 #00BFFF
SkyBlue 135 206 235 #87CEEB
LightSkyBlue 135 206 250 #87CEFA

Continue reading

ASP/SQL 注入天书

引言

随着 B/S 模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于这个行业的入门门槛不高,程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就是所谓的 SQL Injection,即SQL注入。

SQL注入是从正常的 WWW 端口访问,而且表面看起来跟一般的 Web 页面访问没什么区别,所以目前市面的防火墙都不会对SQL注入发出警报,如果管理员没查看 IIS 日志的习惯,可能被入侵很长时间都不会发觉。

但是,SQL注入的手法相当灵活,在注入的时候会碰到很多意外的情况。能不能根据具体情况进行分析,构造巧妙的SQL语句,从而成功获取想要的数据,是高手与“菜鸟”的根本区别。

根据国情,国内的网站用 ASP+Access 或 SQLServer 的占 70% 以上,PHP+MySQ 占 20%,其他的不足 10%。在本文,我们从分入门、进阶至高级讲解一下 ASP 注入的方法及技巧,PHP 注入的文章由 NB 联盟的另一位朋友 zwell 撰写,希望对安全工作者和程序员都有用处。了解 ASP 注入的朋友也请不要跳过入门篇,因为部分人对注入的基本判断方法还存在误区。大家准备好了吗? Lets Go…

入门篇

如果你以前没试过SQL注入的话,那么第一步先把 IE 菜单 =>工具 => Internet 选项 => 高级 => 显示友好 HTTP 错误信息 前面的勾去掉。否则,不论服务器返回什么错误,IE都只显示为 HTTP 500 服务器错误,不能获得更多的提示信息。

第一节、SQL注入原理

以下我们从一个网站 www.mytest.com 开始(注:本文发表前已征得该站站长同意,大部分都是真实数据)。

在网站首页上,有名为“ IE 不能打开新窗口的多种解决方法”的链接,地址为:http://www.mytest.com/showdetail.asp id=49,我们在这个地址后面加上单引号’,服务器会返回下面的错误提示:

Microsoft JET Database Engine 错误 80040e14
字符串的语法错误 在查询表达式 ID=49 中。
/showdetail.asp,行8

从这个错误提示我们能看出下面几点:

  1. 网站使用的是Access数据库,通过JET引擎连接数据库,而不是通过ODBC。
  2. 程序没有判断客户端提交的数据是否符合程序要求。
  3. 该SQL语句所查询的表中有一名为ID的字段。

从上面的例子我们可以知道,SQL注入的原理,就是从客户端提交特殊的代码,从而收集程序及服务器的信息,从而获取你想到得到的资料。 Continue reading

全球DEMO大赛得奖作品欣赏

国外的0DAY组织经常自制DEMO,完全用源代码编写,用来炫耀本组织技术。而各组织之间的竞争也会通过全球DEMO大赛来进行,比赛规则是最大的DEMO不超过65K。相信大家看了之后都会说:真的只有65kb吗?

好正点~~~吼吼~~~很眩很酷~有点惊艳~~~音乐配合场景~~~句子配合意境~~~完美的64K~
如果发现运行时“找不到 d3d8.dll 文件”,请升级 DirectX 至8.1以上。
文件包包含“变幻体、爱之记忆、第七天堂、火域幻境、金属迷城、死亡阴影、幽灵古堡、+fr08v101”。

本地下载: 3d_demos.rar [488K]