X小组的黑客游戏攻略谁告诉我下
我们说黑客过关游戏是一项测试大家细心、观察力、编程能力、软件破解能力和大家的见 多识广! 好今天我就拿 中国x黑客小组的过关游戏为例 给大家讲解一下我的过关过程 我们说完成这类游戏,要同时打开两个ie窗口,一个看页面的效果,一个看页面的源代码! 打开两个ie页面 1: 打开第2个页面:view-source: 用来直接查看源代码 下面用到的软件黑基都有下载:soft.hackbase.com 之一关: 查看第二个ie打开的源文 件看到码之一关密码:我们直接看页面源文件就可以看到答案 asp php jsp 这一关没 什么说的后面显示一关页面名:twotwoin.asp 第二关: 还是看第二个ie打开的源文 件,看到验证的时候出现了一段密文,其实我们一看就知道是代码加密了的直接用解密程序解 密得到第二关密码:本关用到了encode加密解密 我们直接用解密程序解密就行了 注意密 码后面有空格miao 下一关页面名字:thethirdgo.asp 第三关: 走到本关你就知道我们使 用第2个ie的好处了。如果直接进入回弹出一个窗口,要密码,没办法还是使用第2个ie查看源 文件。看到里面是一个js程序和一个psd.js 。把psd.js下载下来,并且把调用它的地方修改 为scr="psd.js"。页面的程序里面加入:var url 后面的对比验证直接改为{hacker += (g.indexOf(y)+1);} hacker+=5;url="forth"+hacker+".asp"; if(1)……我们这个程序后面再加 句:第三关密码: 好了,这会儿我们改好了,直 接执行这个htm文件,就得到密码。本关的算法比较难,在这方面有一定经验的人肯定没得说 !本关密码:723182235242005 下一关页面名字:forth723182235242005.asp 第四关: 第四关密码:这一关和上一关一样,只要编程方面好一点一定会好办许多。我把修改后的计算 程序贴出来: for(j=1;j=15;j++) up*=j; pw =(un + up); document.write(pw); alert("恭喜您! 您的用户名与密码都正确! 进入下一关!"); for(i=1;i18;i++) sum*=i; url = sum + "mission5" + ".asp"; /SCRIPT /font 密码是根据你填的用户名算出来的,但是下一关地址只有一个!下一关页面名 字:197406522593280000mission5.asp 第五关: ... 3280000mission5.asp 根据提示,下载下来时一个assecc数据库,直接下载一个破解工具就搞定第五关密码:本关全 靠工具,只有最后的页面名字要细心一点!数据库密码h31ok 进入数据库得到数 据:o3o1osoiox.asp 细心一点,看看是不是去掉所有的o就搞定了!下一
黑客游戏hacked 黑客平板第四关怎么过?
这个就比较困难一点尤其是他们的第四个版本第四关的话它相对来说你的啊工具只要多一些才能过如果你的攻击值不多的话很难过的的
黑客游戏SQL注入这一关怎么破
百度百科:
SQL注入攻击是你需要担心的事情,不管你用什么web编程技术,再说所有的web框架都需要担心这个的。你需要遵循几条非常基本的规则:
1)在构造动态SQL语句时,一定要使用类安全(type-safe)的参数加码机制。大多数的数据API,包括ADO和ADO. NET,有这样的支持,允许你指定所提供的参数的确切类型(譬如,字符串,整数,日期等),可以保证这些参数被恰当地escaped/encoded了,来避免黑客利用它们。一定要从始到终地使用这些特性。
例如,在ADO. NET里对动态SQL,你可以象下面这样重写上述的语句,使之安全:
Dim SSN as String = Request.QueryString("SSN")
Dim cmd As new SqlCommand("SELECT au_lname,au_fname FROM authors WHERE au_id = @au_id")
Dim param = new SqlParameter("au_id",SqlDbType.VarChar)
param.Value = SSN
cmd.Parameters.Add(param)
这将防止有人试图偷偷注入另外的SQL表达式(因为ADO. NET知道对au_id的字符串值进行加码),以及避免其他数据问题(譬如不正确地转换数值类型等)。注意,VS 2005内置的TableAdapter/DataSet设计器自动使用这个机制,ASP. NET 2.0数据源控件也是如此。
一个常见的错误知觉(misperception)是,假如你使用了存储过程或ORM,你就完全不受SQL注入攻击之害了。这是不正确的,你还是需要确定在给存储过程传递数据时你很谨慎,或在用ORM来定制一个查询时,你的做法是安全的。
2) 在部署你的应用前,始终要做安全审评(security review)。建立一个正式的安全过程(formal security process),在每次你做更新时,对所有的编码做审评。后面一点特别重要。很多次我听说开发队伍在正式上线(going live)前会做很详细的安全审评,然后在几周或几个月之后他们做一些很小的更新时,他们会跳过安全审评这关,推说,“就是一个小小的更新,我们以后再做编码审评好了”。请始终坚持做安全审评。
3) 千万别把敏感性数据在数据库里以明文存放。我个人的意见是,密码应该总是在单向(one-way)hashed过后再存放,我甚至不喜欢将它们在加密后存放。在默认设置下,ASP. NET 2.0 Membership API 自动为你这么做,还同时实现了安全的SALT 随机化行为(SALT randomization behavior)。如果你决定建立自己的成员数据库,我建议你查看一下我们在这里发表的我们自己的Membership provider的源码。同时也确定对你的数据库里的信用卡和其他的私有数据进行了加密。这样即使你的数据库被人入侵(compromised)了的话,起码你的客户的私有数据不会被人利用。
4)确认你编写了自动化的单元测试,来特别校验你的数据访问层和应用程序不受SQL注入攻击。这么做是非常重要的,有助于捕捉住(catch)“就是一个小小的更新,所有不会有安全问题”的情形带来的疏忽,来提供额外的安全层以避免偶然地引进坏的安全缺陷到你的应用里去。
5)锁定你的数据库的安全,只给访问数据库的web应用功能所需的更低的权限。如果web应用不需要访问某些表,那么确认它没有访问这些表的权限。如果web应用只需要只读的权限从你的account payables表来生成报表,那么确认你禁止它对此表的 insert/update/delete 的权限。
6)很多新手从网上SQL通用防注入系统的程序,在需要防范注入的页面头部用 来防止别人进行手动注入测试(。
可是如果通过SQL注入分析器就可轻松跳过防注入系统并自动分析其注入点。然后只需要几分钟,你的管理员及密码就会被分析出来。
7)对于注入分析器的防范,笔者通过实验,发现了一种简单有效的防范 *** 。首先我们要知道SQL注入分析器是如何工作的。在操作过程中,发现并不是冲着“admin”管理员去的,而是冲着权限(如flag=1)去的。这样一来,无论你的管理员怎么变都无法逃过检测。
第三步:既然无法逃过检测,那我们就做两个,一个是普通的管理员,一个是防止注入的,为什么这么说呢?笔者想,如果找一个权限更大的制造假象,吸引的检测,而这个里的内容是大于千字以上的中文字符,就会迫使对这个进行分析的时候进入全负荷状态甚至资源耗尽而死机。下面我们就来修改数据库吧。
⒈对表结构进行修改。将管理员的字段的数据类型进行修改,文本型改成更大字段255(其实也够了,如果还想做得再大点,可以选择备注型),密码的字段也进行相同设置。
⒉对表进行修改。设置管理员权限的放在ID1,并输入大量中文字符(更好大于100个字)。
⒊把真正的管理员密码放在ID2后的任何一个位置(如放在ID549上)。
由于SQL注入攻击针对的是应用开发过程中的编程不严密,因而对于绝大多数防火墙来说,这种攻击是“合法”的。问题的解决只有依赖于完善编程。专门针对SQL注入攻击的工具较少,Wpoison对于用asp,php进行的开发有一定帮助。
尼尔机械纪元黑客游戏怎么玩到40关
你看看挑战下面的训练里是不是只有39个,有些敌人你没黑过就没解锁小游戏