分類
WebTrend

IT界未來十年趨勢發展

從這裡看來的: http://www.uuu.com.tw/Public/content/Edm/150810_ITtrend1.htm
雖然是電腦學習課程的補習班文宣, 不過真的大趨勢如此:

  1. 智慧型裝置大流行》App應用程式仍未退潮
  2. 大數據Big Data》從大數據中找出新商機
  3. 網路資訊安全》防駭、資安將是每間公司都須要面臨的警戒話題
  4. 雲端應用》 Cost Down及管理是企業首要任務
  5. 3D列印》 Maker自造者在全世界都夯
  6. 物聯網》 下一個Big thing

來一一檢視看看,

  1. 智慧型裝置流行不是一天兩天的事了, 而這個從通訊變成娛樂化的個人終端設備, 目前已經是現在人不可或缺的工具了. PC, NB是 Profession的工具, 但智慧型裝置則是人手一支的設備, 商機就在這裡.
  2. 大數據的資料, 有效地解讀, 分析, 塑模, 再整理, 化整出來的內容, 可是十分驚人的, 探究這些數據的內容, 可以找出意想不到的事實與趨勢, 是一項利器.
  3. 資訊的安全是一直存在的課題, 只是現在隨手可得的數位化資產設備, 可能外流的資訊風險也就愈高, 當然也就是一門重要的課題.
  4. 雲端化是虛擬化的下一步, 有效利用將可節省大量的成本.
  5. 3D列印則是真真正正的新進步, 把以往需要費時費工的塑模打樣, 利用3D列印技術, 快速地成型完成, 甚至於量產, 大幅改善了以往生產與測試的瓶頸, 快速成型.
  6. 物聯網則是會愈燒愈旺, 不過是以野火燎原的方式, 在處處發生, 到處都會出現的方式, 在生活中逐一實現.

看到這樣蓬勃發展的技術科技, 什麼生意是可以實現, 可以努力的呢? 看看大家的創意發想吧…

分類
Database

SQL Injection問題-偵測滲透成功的方法

SQL Injection 也存在很久了, 通常要發生大規模爆發, 一定是有新的弱點或新的工具產出. 最近在找相關資料時, 發現還蠻有趣(應該說蠻恐怖的)一個資料: http://huaidan.org/archives/2287.html

其中的第2點: Time-Based Blind SQL Injection using heavy queries: A practical approach for MS SQL Server, MS Access, Oracle and MySQL databases and Marathon Tool

這個讓我想起來, 在我還在唸書的時候, 有修過一門課, 叫做實驗設計, 其實和這個有一些關係, 在分析變因時, 會用許多測試的手法來反覆驗證該變因或是該因素是否對該實驗結果有效這件事. 也和 QC 品質測試有關係, QC 在做黑箱測試時, 也是所謂的 blind test 的方式, 來找出是否有什麼系統上的缺陷和瑕疵, 其實這些方法, 應用在 SQL Injection 上的測試, 也是一樣的.

我們可以看到該文章後面提到的許多有趣的方法來做這件事. 尤其是一個有趣的技術, 就是直接餵入”費時”查詢來偵測 http response 的時間, 來看看是否成滲透成功, 一般說來, 判定滲透是否成功, 往往要由 http response 的結果來看, 其實是不太容易自動化的, 但若是使用 http resopnse 時間來做這件事, 我們來想想背後的目的, 就是 “自動化” 的這件事.

其實要真的試看看漏洞, 若是需要人來看, 往往能找的量就少, 不過若是能利用 http response time 來偵測判定, 能夠變成自動化的話, 效率就高很多, 再利用多方工具配合下, 其實….

能做的就相當多了….

真的是一個很不錯的偵測滲透方式, 給大家參考.

[2008/12/29 18:11]
繼續閱讀:
http://www.wretch.cc/blog/Domynews/9731368