浅析白盒审计中的字符编码及SQL注入

尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型。也有一些cms为了考虑老用户,所以出了gbk和utf-8两个版本。

我们就以gbk字符编码为示范,拉开帷幕。gbk是一种多字符编码,具体定义自行百度。但有一个地方尤其要注意:

通常来说,一个gbk编码汉字,占用2个字节。一个utf-8编码的汉字,占用3个字节。在php中,我们可以通过输出

echo strlen("和");

来测试。当将页面编码保存为gbk时输出2,utf-8时输出3。

除了gbk以外,所有ANSI编码都是2个字节。ansi只是一个标准,在不用的电脑上它代表的编码可能不相同,比如简体中文系统中ANSI就代表是GBK。

以上是一点关于多字节编码的小知识,只有我们足够了解它的组成及特性以后,才能更好地去分析它身上存在的问题。

乐视渗透纪实

※ 本次渗透是基于乐视官方授权许可的基础上进行的。建议各位做持续或内部渗透前,先和官方联系,取得相应许可,以免出现不必要的误会和麻烦。
※ 本报告中部分信息涉及的隐私部分,将做屏蔽或替换处理。
※ 应厂商意向,本专题希望各位基友仅在乌云讨论,不要外发,谢谢!
详细说明:
在一个月黑风高之夜,一个死宅和他的基友在乐视网看电影。突然某神经君冒出了一个想法,于是渗透就开始了。。
首先,要对外网信息进行搜集。比如域名信息,IP段信息等。

从“黑掉Github”学Web安全开发

Egor Homakov(Twitter: @homakov 个人网站: EgorHomakov.com)是一个Web安全的布道士,他这两天把github给黑了,并给github报了5个安全方面的bug,他在他的这篇blog——《How I hacked Github again》(墙)说明了这5个安全bug以及他把github黑掉的思路。Egor的这篇文章讲得比较简单,很多地方一笔带过,所以,我在这里用我的语言给大家阐述一下黑掉Github的思路以及原文中所提到的那5bug。希望这篇文章能让从事Web开发的同学们警惕

Cracking WPA2 with Hashcat

So for all those who got to see the show at Defcon's wireless village, that talk focused more on the drinking of the Rolling Rock than the cracking of the hashes.

I said in my ramblings that it was really really really easy.

Here is a how to...  with some example files for you to follow along with.

First you want to capture some traffic.  I leave the logistics of how up to you.

For this demo, we will be using a file which I grabbed online from the wireshark wiki.

误删chrome书签,恢复方法

几年的书签同步时不小心弄没了,还好Chrome有备份,网上找到的恢复方法如下:

 

误删书签,不要关闭浏览器,迅速去下面的文件夹找出两个文件:Bookmarks.bak   Bookmarks

前者为备份文件,后者为现在使用的。

把bak后缀的拷贝出来,关闭浏览器,将其后缀去掉,替换原文件夹下的Bookmarks。再打开浏览器就恢复了。

 

Windows Vista/2008/7:

%LOCALAPPDATA%\Google\Chrome\User Data\User Data\Default\

Windows XP/2003:

%USERPROFILE%\Local Settings\Application Data\Google\Chrome\User Data\Default\