Python爬虫之MD5解码

我猜Python的魅力在于就算是第一次接触也会让你感到十分亲切! 如果你正在尝试入侵某家网站,那md5破解也许是一个比较常见的需求。当你惊喜的发现这个网站真的只用MD5进行了一下简单加密(从经验来看,这种情况其实不少),那么接下来的工作也许是数据表信息一行一行的复制到某个或者某几个MD5破解的网站,来看一看这条加密数据是否被收录在他们数据库中。相信我,这绝对是一个非常蛋疼的过程。假如你需要100个有效用户的数据怎么办?手都点麻了结果只查了15个,伤不伤心? 枯燥的工作还是交给小伙伴来做吧。 以下是一个简陋的Python MD5解密包(其实就一个Class (⊙ˍ⊙)而已)。程序会去几个比较大型的MD5破解网站查询并抓取数据,如果有的话就返回结果。虽然比较简陋,但无论如何,比手动的还是快多了。 破解网站的数据库也非常强大,8位以下数字、单词、拼音都能轻松查到,效率还是很高的,总的来说,表现很不错!…

降低SQL注入带来的危害

参考 记一次标准化SQL注入 的流程,再次注入了 某网站, 同时也证明程序的漏洞确实无处不在,所以作为用户千万别把什么都搁网上.作为开发者必须对自己的代码更加负责,尽可能减少被攻击的可能性以及受到攻击后将可能的危害设在一个可控的范围内,否则,很可能造成非常严重的损失. 大部分程序员对自己写的代码非常有信心,认为自己编写的代码是非常严谨的而对其他方面的安全性问题放松了警惕,这往往是最危险的做法.其实,如果稍微做一点工作,即使出现漏洞,大部分攻击也很难对程序(或网站)造成实质性的破坏,以下是目前想到的一些简单的防范措施,经供参考: 对不同的项目配置独立的数据库权限,避免因为某一个网站的漏洞而造成大面积的跨库攻击.同时,也不要给项目数据库用户提供mysql, infomation_schema 等系统级数据库的权限,避免攻击者很容易就得到数据库的结构信息. 数据表的命名不要过于常规,如 user 等,实在是太容易被猜到了. 关闭各种报错信息,可以有效提高攻击的难度,如果不是有目的的攻击者,遇到只能盲注的一般也就放弃了. 到现在还有大量的开发者认为MD5是安全的加密方式, google一下,做各种 Hash型密码破解 的网站真的是越来越牛逼,8位以下的数字密码不用付费都给你了, 作为被攻击并被爆表后,网站的最后一道防线,请重视一点,至少不要使用太常规的加密方式,不然真的没办法了.…

记一次标准化SQL注入

以下是对某网站一次教科书式的SQL注入攻击,因为该类漏洞大量存在于比较陈旧的网站中,具有很强的可复制性,写下来仅供参考. 注入点 同一个服务器上可能部署了多个网站,甚至是已经废弃但是还没有被关闭的旧版网站,新开发的网站一般都会使用一些开发框架或者是基于开源系统的二次开发,存在严重漏洞的机会相对较小,而攻击就可以从那些老旧的网站入手. http://www.xxxxx.edu.cn/xxxx/team_intro.php?id=41' 这是老版网站中的一个注入点,加 ' 注入,直接爆出表名. 有效信息: 表名 : ee_team_intro 获取字段数 因为使用UNION SELECT查询时,要求被拼接的两张表的字段数必须相等,所以需要首先知道当前表的字段数量,以及字段与页面数据的对应关系. url_decode %23 = # ,作用是注释掉之后的SQL语句. http://www.xxxxx.edu.cn/2011/xxxxx/team_intro.…