wordpress后台登陆安全插件Protected wp-login更换后台关注热度:42

我不知道大家学过做网站学过seo优化，没有学习网站安全这块，无论你有没有学习，只要听说网站让黑了，一般都是网站的权限落入到黑客的手中，因为一个人想黑掉你的网站或者是放..[详情]

关于Web安全的那些事（XSS攻击） - 网站安全 - 自关注热度:39

概述XSS攻击是Web攻击中最常见的攻击方法之一，它是通过对网页注入可执行代码且成功地被浏览器执行，达到攻击的目的，形成了一次有效XSS攻击，一旦攻击成功，它可以获取用户的联..[详情]

WordPress Spider Facebook 插件 'facebook.php&#3关注热度:51

发布日期：2014-09-07更新日期：2014-09-11受影响系统：WordPress Spider Facebook描述：BUGTRAQ ID: 69675WordPress Spider Facebook插件包括所有可用的Facebook社交插件和工具。Spider Facebook 1 0 8..[详情]

Ecmall的几处SQL注射漏洞 - 网站安全 - 自学php关注热度:49

搜了下，发现 app seller_groupbuy app php里面还有6处注入：分别是该文件下drop(),start(),finished(),desc(),cancel(),log()函数中的id参数以finished()为例：function finished() {..[详情]

将抵抗XSS攻击进行到底 - 网站安全 - 自学php关注热度:44

什么是XSS攻击通常指黑客通过HTML注入纂改了页面，插入了恶意的脚本，从而在用户浏览页面时，控制用户浏览器的一种攻击。在一开始，这种攻击的演示案例是跨域的，所以叫跨站脚本..[详情]

苏迪Webplus 3 EX网站群内容管理系统任意用户密码关注热度:184

苏迪科技Webplus 3 EX网站群内容管理系统，用户密码找回功能存在设计缺陷，导致任意用户密码重置。测试操作如下：1 由于我们没有测试账号，因此需要先注册一个账号：（注册地址默认..[详情]

大朴网越权之修改任意用户订单 - 网站安全 - 自关注热度:42

听说大朴网不错，东西用起来很舒服，而且大朴网来黑吧漏洞公告中心了，发现了个小问题，越权之修改任意用户订单如果我把订单的收货人改成Finger或者疯狗或者xsser再或者肉肉，那你..[详情]

金蝶某软件存在多个安全漏洞（通用管理账号+获关注热度:136

实际上是2个软件的漏洞，放在一起就不单独发了。金蝶eas存在通用管理账号+获得数据库密码漏洞，金蝶apusic存在远程代码执行漏洞。下面的..[详情]

回忆phpcms头像上传漏洞以及后续影响 - 网站安全关注热度:78

暑假写的文章了，最近博客没干货，发出来娱乐一下。为了响应爱慕锅（Mramydnei）、撸大师（索马里的海贼）、fd牛（ fd）的号召成立的parsec团队，以及各位老师多年来对我的教育，我要..[详情]

dedecms找后台与解密注意事项总汇 - 网站安全 - 自关注热度:43

解密：织梦密码是cmd5加密,为20位，去掉前三位与后一位。后台：默认的是dede login php1 include dialog select_soft php文件可以爆出DEDECMS的后台,以前的老板本可以跳过登陆验证直接访问,无需管理..[详情]

各大CMS厂商的CMS存在的同一设计缺陷 - 网站安全关注热度:63

简要描述：为了写这个漏洞我已经下载了很多CMS做了很多实验，。其中大多谈到的均为乌云上已经注册的厂商，包括：Ecshop、PHPwind、74CMS等等 这里一并提交一方面是为了防止各种小伙伴..[详情]

phpwind9.0最新版富文本存储型XSS漏洞 - 网站安全关注热度:53

没有阅读你们的代码，没有华丽的代码分析。只是黑盒测试代码编写不当导致phpwind发帖和回复功能均可以由攻击者植入恶意的js代码进而进行跨站脚本攻击。下面附上测试步骤，已便重..[详情]

126邮箱应用中心XXE注入漏洞 - 网站安全 - 自学p关注热度:42

http: uswebmail mail 126 com appcenter ftentry do?sid=XXXXXXXXXXXfunc=mapp:sequential典型的XXE注入，POST参数var?xml version=1 0?!DOCTYPE object [ !ELEMENT string ANY !ENTITY xx1..[详情]

优酷主站stored xss可执行任意js代码 - 网站安全关注热度:62

优酷个人频道（XXX的频道）存在存储型XSS，可加载并允许执行任意外部js代码。如为网络红人，可绑架DDoS僵尸。说来是个毫无水准的洞，但是危害性不小。漏洞存在于XXX的频道页面，专..[详情]

帝友P2P借贷系统搜索型SQL注入 - 网站安全 - 自学关注热度:54

帝友P2P借贷系统搜索型SQL注入标题上面说是v3 1版本，具体是什么版本，亲~您懂的。http: v31 diyou cc transfer_success index html?keywords=1borrow_type=account_status=borrow_interestrate=spread_mon..[详情]

百度云加速/加速乐/安全宝/360等所有waf产品某些关注热度:58

测试了下市面上 360 加速乐 百度云加速 安全宝这四个waf产品 在某种条件下均可以绕过 顺利注射出数据库信息。首先我自己搭建了环境 mssql+asp构造了一个 数字型的报错注入点。http: 19..[详情]

turbomail文件读取漏洞 - 网站安全 - 自学php关注热度:62

登录情况下有效。Web xml中有个j2me的servlet打开反编译出来的J2MEServlet java，有以下的代码：else if (ACTION_TYPE equals(ACTION_VIEW_EMAIL_ATTACHS)) { * 348 * String session..[详情]

百度开放平台某SQL注入 - 网站安全 - 自学php关注热度:40

百度开放平台某SQL注入发现只修复了参数 sort，居然没有注意到 od_byhttp: developer baidu com rest 2 0 dev v1 app base list2?callback=jQuery110100413025302879616_1404913266218pn=1ps=10od_by=crea..[详情]

万户OA某处绕过限制文件上传以及sql注入 - 网站安关注热度:80

万户OA某处绕过限制文件上传以及sql注入发现这玩意还有标准版和专业版。不知道有没有和方便面牛重复~里面的方法适用于标准版，专业版存在同样的文件但是路径不一样。defaultroot i..[详情]

Discuz后台文件包含漏洞 - 网站安全 - 自学php关注热度:77

漏洞函数在文件source module misc misc_seccode php下面请看代码这段代码粗略一看没什么利用条件 source plugin 39; $etype[0] 39; seccode seccode_ 39; $etype[1] 39; php 39;但是 我们把其中的 se..[详情]

PHP中使用按位取反(~)函数创建后门，编码变异类关注热度:39

1）PHP ~位运算符前一段时间老外在twitter上爆出个有趣的东西，一串疑似乱码的字符串访问后却能正常输出1337。PHP: 位运算符 -http: www php net manual zh language operators bitwise php~$aNot（按位取反..[详情]

C# sql语句拼接时like情况的防sql注入的用法 - 网站关注热度:54

今天下午同事问我一个比较基础的问题，在拼接sql语句的时候，如果遇到Like的情况该怎么办。我原来的写法就是简单的拼接字符串，后来同事问我如果遇到sql注入怎么办。我想了下，这..[详情]

TSRC挑战赛：WAF之SQL注入防御思路分享 - 网站安全关注热度:66

背景对于腾讯的业务来说，有两个方面决定着WAF能否发挥效果，一个是合适处理海量流量的架构，另一个关键因素则是规则系统。架构决定着WAF能否承受住海量流量的挑战，这个在之前..[详情]

从Yii2的Request看其CSRF防范策略 - 网站安全 - 自学关注热度:64

先画一幅流程图理理思路：1 问题是这样的：今天在处理一个这样的需求， 在app controllers LoginController php中定义了index方法来处理登录（主要是用于非Web页面登录，比如Curl -X POST http: ap..[详情]

安卓内置浏览器跨域漏洞（UXSS） - 网站安全 - 自关注热度:64

相关链接：http: www rafayhackingarticles net 2014 08 android-browser-same-origin-policy html测试链接：http: x7s pw 001 htmliframe name=m src=http: www foxck com onload=window open( 3..[详情]

手把手教你应对搜索引擎劫持攻击 - 网站安全关注热度:63

作者：dong [转载请注明出处自 : 360网站卫士博客-blog wangzhan 360 cn]很多站长可能都遇到过一种黑客攻击方式，就是在搜索引擎结果页中看到自己的网站，但是点开后却跳转到一些其他网站..[详情]

TSRC挑战赛：WAF之SQL注入绕过挑战实录 - 网站安全关注热度:39

博文作者：lol [TSRC 白帽子]第二作者：Conqu3r、花开若相惜来自团队：[Pax Mac Team]应邀参加TSRC WAF防御绕过挑战赛，由于之前曾经和Team小伙伴一起参加过安全宝WAF挑战，而且自己平时接触..[详情]

php+mysql手注拿shell教程 - 网站安全 - 自学php关注热度:50

此文章献给那些还对注入不怎么理解的人学习！目标站：http: www 51team cn 注入点：http: www 51team cn newmess php?id=138找到注入点后猜字段，可用order by 1猜解，order by不可用时，可用union联合查..[详情]

齐博CMSb2b系统 二次注入 - 网站安全 - 自学php关注热度:42

源码此处下载 http: down qibosoft com down php?v=b2b在hy member homapage_ctrl info php中$db-query(INSERT INTO `{$_pre}company_fid` VALUES $values);$title=filtrate($title);$picurl=filtrate(..[详情]

星外虚拟主机跨web目录文件读取技巧 - 网站安全关注热度:67

星外虚拟主机跨目录读取文件漏洞，需要一定条件。详细说明：问题发生在以下文件，这些文件都没有严格的设置执行权限，当前的IIS用户能够顺利的利用它们执行命令：c: windows 7i24I..[详情]