<![CDATA[Messages posted by "sparrowvn"]]> /hvaonline/posts/listByUser/258947.html JForum - http://www.jforum.net Cách phát hiện & phương pháp phòng chống DoS /hvaonline/posts/preList/45319/279100.html#279100 /hvaonline/posts/preList/45319/279100.html#279100 GMT vn-zoom đã bị hack /hvaonline/posts/preList/45189/279042.html#279042 /hvaonline/posts/preList/45189/279042.html#279042 GMT Xâm nhập mọi máy tính 32bit và 64bit /hvaonline/posts/preList/45238/279041.html#279041 /hvaonline/posts/preList/45238/279041.html#279041 GMT Hướng dẫn khai thác SQL Injection đối với MySQL

hocquantrimang wrote:
đối với bài này là làm bằng tay nên có thể hơi mất công và khó nhớ, nhưng làm = tay cung có cái hay của làm bằng tay, nhiều khi làm = tools ko ra nhưng làm bằng tay lại ra. với bài này thì ta có thể dùng tools Havij để search sẽ rất nhanh có thể thấy được admin và mkMD5, cả link admin nữa, nhưng mã MD5 thì hên xui thôi, xài python trong backtrack còn xin lỗi chịu ko nổi chứ nói gì đến google mêt nghỉ, xài dictionary thì cũng 50/50 :v ko nói chắc được, vậy nên việc tìm kiếm password của admin thì mức độ khả thi vẫn là 50-50/ thế nên mới sinh ra việc khai thác web cho phép upload để đưa shell lên rồi chạy shell để chiếm quyền admin sau đó change pass của admin = pass đã được MD5 của mình vào, => mình là admin rồi , từ đó mới tấn côn các web khác. nhưng chỉ riêng việc upshell và chạy được nó đã là 1 điều ko đơn giản rồi.  
Do trong giới hạn của bài viết và yêu cầu, nên mình không muốn bình phẩm về chuyện tay hay tool. Về nguyên tắc thì tất cả những gì user có thể input đều sẽ được đưa vào ứng dụng, tuỳ theo ứng dụng có thể điểm input sẽ khác nhau và tất nhiên tuỳ theo khả năng nhận biết cùa hacker hoặc người muốn test. Skill và experience là những yếu tố mấu chốt đối với tester cũng như hacker Về chuyện tool hay tay, các bạn có thể xem 1 bài viết (khá cũ nhưng vẫn xem được) tại http://www.slideshare.net/itasvietnam/itasautomated-web-applicationscannervi. Các quyết đị tool nào hay tay nào sẽ là quyết định của chính bạn]]>
/hvaonline/posts/preList/25210/279040.html#279040 /hvaonline/posts/preList/25210/279040.html#279040 GMT
Kỹ thuật tấn công khuếch đại DNS /hvaonline/posts/preList/45116/278329.html#278329 /hvaonline/posts/preList/45116/278329.html#278329 GMT Phương pháp chống đỡ triệt để quái thú ddos Keep-Dead /hvaonline/posts/preList/45100/278302.html#278302 /hvaonline/posts/preList/45100/278302.html#278302 GMT Dictionary Attack và Brute Force attack - Vietnamese Password Dict /hvaonline/posts/preList/44898/277556.html#277556 /hvaonline/posts/preList/44898/277556.html#277556 GMT Nhờ các anh giúp em tìm ra IP thủ phạm đã xoá hết dữ liệu dùng chung /hvaonline/posts/preList/44936/277470.html#277470 /hvaonline/posts/preList/44936/277470.html#277470 GMT Tấn công DDoS trong mạng LAN /hvaonline/posts/preList/44518/277421.html#277421 /hvaonline/posts/preList/44518/277421.html#277421 GMT Hướng dẫn khai thác SQL Injection đối với MySQL /hvaonline/posts/preList/25210/276912.html#276912 /hvaonline/posts/preList/25210/276912.html#276912 GMT cơ chế lưu pass của yahoo 11.x /hvaonline/posts/preList/41828/261670.html#261670 /hvaonline/posts/preList/41828/261670.html#261670 GMT Tìm Tools Testing Source Code /hvaonline/posts/preList/41611/258942.html#258942 /hvaonline/posts/preList/41611/258942.html#258942 GMT