ESPCMS最新 V5.8.14.03.03 UTF8 正式版暴力注入 - 网站安关注热度:42

弱加密算法的悲剧 伪造任意用户登录 注入 一系列问题 public class_dbmysql php行144function eccode($string, $operation = 39;DECODE 39;, $key = 39;@LFK24s224%@safS3s%1f% 39;, $mcrype..[详情]

微擎-微信公众平台自助引擎系统整站重装+SQL注入关注热度:183

微擎-微信公众平台自助引擎系统整站重装+SQL注入getshellhttp: www we7 cc 源码下载，量还是挺大的。验证为v0 52，漏洞应该是版本通杀。http: bbs we7 cc forum php?mod=viewthreadtid=1155在 install php文件..[详情]

HTML5 App的代码注入攻击 - 网站安全 - 自学php关注热度:35

基于HTML5的手机app（译者注：以下简称HTML5 app）越来越流行了， 在大多数情况下它比native应用更容易适配不同的移动操作系统。它开发起来很方便，可以使用标准的web技术，包括HTML5、..[详情]

利用webshell搭建socks代理 - 网站安全 - 自学php关注热度:88

老外的开源应用https: github com sensepost reGeorg使用示例：python reGeorgSocksProxy py -p 8080 -u http: upload sensepost net:8080 tunnel tunnel jspStep 1 上传一个脚本(aspx|ashx|jsp|php)..[详情]

西北知名IDC服务公司 天互数据某处存在SQL注入关注热度:38

天互数据某处存在SQL注入漏洞可获取数据库信息，以及管理员账号与密码。漏洞地址：http: autosite idcs cn webmall detail php?id=580..[详情]

搜狐焦点家居多处Cookie注入打包 - 网站安全 - 自关注热度:47

下述url均存在cookie注入，厂商请注意修复。1 http: home focus cn newscenter newscenter php？subject_id=33show_citynum=5497558138882 http: home focus cn jiancaicheng index php?city_id=393 ht..[详情]

Web安全初学者的几个学习建议 - 网站安全 - 自学关注热度:56

零基础如何学习Web安全？这是个好问题，我强迫症犯了，本来写的是web，我改为了Web。因为正好Web安全是我擅长的，你说的是0基础，我总结下我的一些看法吧，针对0基础的。一 首先你..[详情]

中国铁通宽带广告投放系统存在严重安全问题关注热度:48

最近被铁通恶意插入的广告搞的蛋疼 投诉无门 自己搞定前阶段电脑莫名其妙的随机跳转hao123 一号店等地址 搞的我以为电脑中毒了最近倒是不跳了 不管登陆什么网站 右下角总弹出一些..[详情]

Discuz 5.x/6.x/7.x投票SQL注入分析 - 网站安全 - 自学关注热度:39

看有人爆了这个漏洞，感觉应该是editpost inc php里投票的漏洞。因为dz已经确定不会再修补7 x以前的漏洞了，所以直接贴细节吧 。问题出在 editpost inc php的281行，对用户提交的polloption数组..[详情]

大汉版通系统敏感信息泄露+SQL注入漏洞 - 网站安关注热度:46

大汉版通某系统存在比较严重的信息泄露另加两处SQL注入该系统为：大汉信息公开系统(xxgk) 1 信息泄露漏洞文件路径 xxgk setup tools getuserinfo jsp 2 SQL注入漏洞文件如下 xxgk short_message que_r..[详情]

phpmywind 5.0 后台GetShell漏洞利用 - 网站安全 - 自学关注热度:71

admin web_congif php 的过滤代码如下。 强制去掉 强制去掉最后一位 $vartmp = str_replace( , ,$row[ varvalue ]);if(substr($vartmp, -1) == ){$vartmp = substr($vartmp,1,-..[详情]

Anymacro邮件系统任意文件下载漏洞 - 网站安全 -关注热度:112

在mailattrFw php中?phprequire_once config config php;require_once include template php;require_once include func php;require_once 39;include right php 39;;require_once 39;include..[详情]

U-Mail邮件服务系统任意文件上传+执行漏洞（run关注热度:155

产品介绍(摘自官网)U-Mail专注于电子邮件领域15年，为企业轻松搭建最安全稳定的电子邮件系统软件。关键字：15年 最安全 最稳定{15年 最安全 最稳定} , (w)(o)(x)(*)(a)(o)(l)(e),这么奇葩的代..[详情]

某OA系统越权、多处SQL注入及任意用户登陆包括管关注热度:38

某OA系统越权、多处SQL注入及任意用户登陆包括管理员大量案例中招，官网demo中招，多处漏洞广州市颖峰信息科技有限公司http: www yfidea com product asp官方demo地址：http: demo yfidea com 官方成..[详情]

PageAdmin CMS 2.x后台登陆绕过 - 网站安全 - 自学ph关注热度:126

后台使用Master_Valicate Master_Check函数来验证用户是否登陆，下面是此函数代码if (HttpContext Current Request Cookies[Master] != null) { if (HttpContext Current Request Cookies[Master..[详情]

搜狐视频一键劫持妹子通行证 - 网站安全 - 自学关注热度:46

搜狐视频可以设置搜狐通行证手机号绑定。http: my tv sohu com user setting mobile do输入手机号后，向该手机号发送验证码。填入动态验证码后，会ajax绑定手机号和验证码是否正确对应GET user..[详情]

PageAdmin CMS最新版SQL注入 - 网站安全 - 自学php关注热度:103

PageAdmin CMS最新版SQL注入系统保存日志功能，没有过滤IP，导致了SQL注入漏洞 PageAdmin Logpublic void Save(int SiteId, int IsMaster, string thetype, int state, string username, string..[详情]

日本北海道大学能源管理系统加三菱Q系列PLC以太关注热度:48

针对三菱Q系列PLC的安全分析可以参照前文，而这个就是一个控制设备跑在公网的切实的案例，同样也是本次能根据title确认的一个案例。理论上PLC如果没设置密码是可通过编程软件是实..[详情]

黑客入侵后，重新夺回我的网站 - 网站安全 - 自关注热度:49

自2012年3月开始我就一直运营的一个网站：RamshackleGlam com 在上周被别人给盗了。它被一个叫bahbouh的家伙放到了一个名叫Flippa com的拍卖网站上，差点就被卖给了出价最高的竞争者（大概..[详情]

火狐Quick Translator插件XSS及利用技巧 - 网站安全关注热度:38

Quick Translator未经过滤直接输出，导致XSSQuick Translator对谷歌翻译返回未经过滤直接输出，导致XSS不知道什么原因，直接翻译script标签是不行的，所以需要借助img等其他标签。Quick Translat..[详情]

比特儿(Bter.com) 比特币交易平台被盗事件全解析关注热度:44

就在刚才（2014年8月15日晚），国内著名的山寨币交易所比特儿遭到攻击，被盗5000万个NXT（未来币）。本事件一波三折，目前还在发酵中，但一场完全透明却匿名的网络犯罪却呈现在我们..[详情]

我是如何绕过Google和Facebook等大站的两步验证的关注热度:183

我记得在两年前，两步验证(2-Factor-Authentication, 2FA)变得非常普及并且在各大主流网站(Google, Facebook, Yahoo 等)广泛应用。那时我十六岁，天真的我想不通为什么这么天才的想法之前没有人想..[详情]

第三方接口 黑客怎么爱你都不嫌多 - 网站安全关注热度:42

0x01 写在前面本文总结了红黑联盟主站最近提交的 由于第三方接口程序导致的高危漏洞本文实例都是使用率高，且在近期爆出漏洞的API，具有一定现实意义在程序中嵌入第三方程序，可..[详情]

XSS终结者：Content Security Policy（CSP） - 网站安全关注热度:55

Content Security Policy（CSP）简介传统的web安全应该主要是同源策略（same origin policy）。A网站的代码不能访问B网站的数据，每个域都和其他的域相互隔离，给开发者营造了一个安全沙箱。理..[详情]

基于HTML5的Canvas指纹跟踪技术 - 网站安全 - 自学关注热度:53

时至今日有许多的方式来跟踪访客，例如使用存在用户端的cookie技术，这种技术现已被大部分公司遗弃，如今出现了一种新的方法替代cookie可以来跟踪用户。在这两年中，许多网站和跟..[详情]

web前端黑客技术之数据与指令【sql注入、xss跨站关注热度:46

首先，我们知道，用浏览器打开一个网站，呈现在我们面前的都是数据，服务器端存储的（数据库，内存，文件系统等）、客户端存储的（本地Cookies,flash Cookies等），传输中的（json数据..[详情]

梦芭莎SQL注射 - 网站安全 - 自学php关注热度:49

梦芭莎SQL注入梦芭莎SQL注射,延迟注入sqlmap py -u http: etl moonbasa com recommend aspx?callback=jQuery170992754654353016_1403935339797method=viewbuymodel=1pageno=1pagesize=5uid=user123met..[详情]

ecshop安全方面的一些参考建议 - 网站安全 - 自学关注热度:129

一，ecshop安装，其实很简单，只要一直下一步下一步点击即可，这样总是没有错的，因为官方不可能给我们一个有问题的程序，尽量从简即可。请注意一下两点A：在安装ecshop的时候，不..[详情]

XSS的原理分析与解剖 - 网站安全 - 自学php关注热度:54

0times;01 前言:《xss攻击手法》一开始在互联网上资料并不多(都是现成的代码，没有从基础的开始)，直到刺的《白帽子讲WEB安全》和cn4rry的《XSS跨站脚本攻击剖析与防御》才开始好转。我..[详情]

西部数码储存型xss影响部分代理商 - 网站安全关注热度:107

百度 西部数码代理 随意打开个。注册用户 提交问题。改包 将 uploadFileName参数 改为xxx jpgonerror=eval(String fromCharCode(97,108,101,114,116,40,49,41))在 问题跟踪处理 我们可以发现 我们 提..[详情]