懂博士信箱.pdfVIP

讲座培训LessoJl＆Thj耐玎g 心者可以通过溢出漏洞执行任意系 统操作或权限提升。 2)执行文件打开操作，对非法 路径没有仔细校对，“．．／”问题，可 能导致操作者打开非授权的机密文 件甚至截获密码信息。 3)sql合成，也就是臭名昭著 的单引号问题，当然不局限于单 引号，攻击者可以利用合成sql执 行任意数据库操作，并删除篡改 数据，通过对一些数据库系统内 置过程的调用，甚至可以执行系 统命令。 4)如果是B／S结构的程序，跨 E-mail：nsc@csni．com．cn 站脚本也是防不胜防，攻击者可能 让服务端执行一个远端脚本程序或 本刊从本期起开设懂博士信 成为一名安全专家需要持之以 者将一些敏感cook{e信息传递到远 箱，以问答的形式解答读者在工作 恒的毅力，作为攻击者可以借助现 端服务器。 和学习中遇到的实际问题，这是一 有的工具速成，但是作为安全专家 5)对错误处理不谨慎，比如 个读者与专家的互动栏目。希望大 却必须循序渐进地学习各种基础技 有些采用系统默认的错误显示， 家踊跃提出问题和回答问题，请发 能，包括熟练地掌握各种编程和调 容易产生信息泄露，信息泄露可 试环境，能够熟悉各种操作系统的 至懂博士信箱：nSc@cSIⅡ．com．cn。 能为攻击者的进一步攻击提供参 基本结构、内存管理模式、文件管 考，部分信息泄露甚至会直接传 问：如f可成为一名安全专家 理模式、权限管理模式等，能够熟 递给攻击者一些极为敏感的安全 o需要怎样的素质和条件? 悉汇编指令和对应的内存操作等等。 信息。 当然，安全专家也分不同种 6)权限区分不周全，可能会使 答：成为一名安全专家，实际 类，一种是专注于特定领域，比如 得攻击者利用一些合法操作步骤的。 上只需要两种素质，一是兴趣，二 加密算法、溢出分析等。他们通常 排列执行非授权的访问和