注:屏蔽本漏洞的紧急通知:http://fineui.com/bbs/forum.php?mod=viewthread&tid=7863 本人小学文化,文采不好,写的不好请各位多多包含, 最近笔者喜欢研究一些代码安全方面的问题,前些日子研究了下力软的框架,发现代码安全方面做的还是不足的,今天偶尔的机会接触了下fineui,从最开始的注入开始,都没有什么突破, 最好就想到列别的排序,从列别排序注入,弄了好久,发现一直没注入成功也没有报错,我就很是奇怪,然后看了下fineui的开源版,看了代码,发现…

笔者小学文化,语言组织能力差,写的不通的地方请大家将就着看,不喜勿喷. 上篇我讲了如何在上传文件中入侵服务器,這次我们稍微多讲一点. 还是先讲下流程: 1.上传代码页面  我上传的是ashx页面. 2.用ashx页面已文本形式显示web.Config的内容 得到数据库连接, 3.用ashx在网站根目录输出vbs脚本(创建Windows账户脚本) 4.开启数据库的xp_cmdshell. 5.利用数据库执行在网站根目录输出vbs脚本.入侵就完成了 ashx代码文件如下 /// <summary>…

ASP.NET网站入侵第二波(LeaRun.信息化快速开发框架 已被笔者拿下) 详细介绍请看第二波 首先我要申明的是不是什么语言写出来的程序就不安全,而是得看写代码的人如何去写这个程序 前些日子我去客户那调研,发现客户的监控系统用的是海康威视的硬盘录像机,然后默认用户名是amdin 密码是12345,回来后就想玩一玩看看有多少人用的是默认密码,于是就写了个扫描程序,很快扫描到了一大批网站,也得到很多采用的是默认用户名和密码. 玩了一两天后发现没什么好玩的,就随便在里面找找扫描记录,看到一些后台登…

  1.     概述 在一台干净的Win7机器上发布ASP.NET网站需要准备的有: a)        .NET Framework 环境 b)        数据库 c)        IIS 互联网信息服务 d)        待发布的网站代码 其中.NETFramework环境一般安装了VS2008 或者VS2010都会自带,也可以下载独立的安装包下载地址:http://www.microsoft.com/zh-cn/download/details.aspx?id=17718.这里我…

微软于6月27日在红帽DevNation峰会上 正式发布了.NET Core 1.0.ASP.NET 1.0和Entity Framework Core 1.0,其将全部支持Windows.OS X和Linux操作系统.其中.NET Core最受瞩目,为一款跨平台.开源且模块化的.NET平台,可以用来搭建web应用.微服务.创立应用库和控制台. ASP.NET 5已被微软改成了 ASP.NET Core 1.0,.NET 5就是现在的.NET Core 1.0,EF7(Entity Framew…

本篇以我自己的网站[http://www.1996v.com]为例来通俗易懂的讲述如何防止网站被入侵,如何让网站更安全. 要想足够安全,首先得知道其中的道理. 本文例子通俗易懂,从"破解网站"的思路和原理来反推如何让网站更安全,相比网上其它的文章来说,更加具有实战性和趣味性. 本文讲解目录大致如下,讲述暴力破解.xss.csrf.挂马等破解思路及对应的防护. 对手机验证码登录方式进行暴力破解的原理及防护 破解验证码进行无限注册账号的原理及防护 通过留言板来了解XSS 通过留言接口来实现…

一.前言 大家都知道,在之前,我们Asp.net 的网站都只能部署在IIS上,并且IIS也只存在于Windows上,这样Asp.net开发的网站就难以做到跨平台.由于微软的各项技术的开源,所以微软自然要对跨平台做出支持的.OWIN技术就可以使得Web 服务器不再依赖于IIS,从而使得Asp.net 网站不再依赖于Windows.是不是有了OWIN,就不需要安装MONO就可以实现跨平台呢?显然不是,有了OWIN要实现跨平台还是要依赖与MONO,因为MONO提供了在Liunx环境下.NET代码的运行…

[系统环境]Windows 7 / 2008r2 [软件环境]Visual Studio 2010 [开发语言]C# [感谢]本文是在 <C#开发和调用Web Service> 一文的基础上做了少许修改及补充后整理所得. 1. WebService 1.1 基本概念 Web Service也叫XML Web Service Web Service是一种可以接收从Internet或者Intranet上的其它系统中传递过来的请求,轻量级的独立的通讯技术.是:通过SOAP在Web上提供的软件服务,使…

多年前写的一个ASP.NET网站管理系统,到现在有些公司在用 今早上接到一个电话,自已多年前写的一个ASP.NET网站管理系统,一个公司在用,出了点问题, 第一点是惊奇,5,6年前的东东,手机号码换了好几个了,居然还能找到俺的号码 估计是现在网站上留的,网站域名也换了,不容易~ 第二点就是同意解决,因为这个系统也很久不维护了,所以想看看现在怎么样了 运行的还很OK, 第三就是问题如何解决,其实是折叠菜单js兼容问题,当时就有,老问题 告诉对方换ie后解决 第四咱们来讨论下这个网站系统是如何写滴,…

64位Win7下运行ASP+Access网站的方法 近日系统升级为WIN7 64位之后,突然发现原本运行正常的ASP+ACCESS网站无法正常连接数据库. 网上搜索多次,终于解决了问题,总结了几条经验,记下来以免忘了. 在windows vista下面IIS7的安装.设置.调试ASP+Access的具体方法和步骤,废话少说让我们开始吧! 第一步:在windows vista下面IIS7的安装方法.进入Vista的 控制面板,选择左侧的 打开或关闭Windows功能 . 第二步:安装IIS7的选项…