phpcms2008企业黄页模块参数未过滤致SQL注射漏洞关注热度:13

phpcms 企业黄页模块由于参数未过滤存在SQL注射漏洞,允许攻击者执行SQL语句.0day是幌子,鸡肋是真的,由于影响比较小,不会造成什么危害,N久之前发现的鸡肋,发出来给博客滥竽充数啦.今天早..[详情]

PPLIVE源代码泄露及两个struts命令执行漏洞 - 网站关注热度:14

配置不当导致网站源代码泄露svn导致网站源代码泄露http://home.pplive.com/.svn/text-base/SQLDao.jsp.svn-base修复方案：http://www.2cto.com/Article/201203/124841.htmlhome.pplive.com很老的struts命令执行漏.....[详情]

58同城逻辑判断失误致任意信息删除漏洞 - 网站安关注热度:18

昨天rp爆发，在58上呆了3分钟，不小心发现一个漏洞，，，，信息删除两种方式，一种为账号登陆，一种为手机。但是手机删除时，验证存在逻辑判断错误，导致攻击者可删除任意已经发..[详情]

网易三个分站struts命令执行高危漏洞及修复 - 网关注热度:17

网易书库http://data.book.163.com/ struts命令执行漏洞网易游戏 帐号修复支持中心im.gm.163.com 还是之前的问题struts命令执行手机网易网3g.163.com 和之前的一样struts命令执行漏洞证明：修复方案：..[详情]

另类提权 虚拟机还原备份文件抓hash - 网站安全关注热度:20

猪三哥那看到的，再次验证渗透玩的是思路，学习下一頭豬，搞到WEBSHELL~補丁很全，無神馬缺陷，裝了個微軟FTP,SQL2005，常規辦法無法提權,~一看D盤有一個前天的系統BKF文件~啊哦~COPY 到..[详情]

joomla变量覆盖导致注册提权漏洞 - 网站安全 - 自关注热度:23

joomla用户注册流程存在一个变量覆盖漏洞，可以导致攻击者直接注册管理员权限帐号。详细说明：/components/com_users/controllers/registration.phppublic function register(){// 检测tokenJRequest::checkT.....[详情]

安徽商网的建站系统存在sql注入及修复 - 网站安关注热度:16

应厂商要求已删除。..[详情]

酷狗分站西游记官网SQL注射漏洞及修复 - 网站安关注热度:18

发现了论坛居然是dnt,还是旧的版本，最重要的是，没打补丁。。。相关说明：http://nt.discuz.net/showtopic-135589.htmlhttp://xyj.kugou.com/bbs/admin/ajax.aspx?AjaxTemplate=ajaxtopicinfo.ascxposter=1#3.....[详情]

115游戏post型sql注入可获得用户详细信息 - 网站安关注热度:22

115游戏存在post型的sql注入，注入可获取用户身份证号码等信息。详细说明：115游戏：http://wan.115.com/zzbj/card处，服务器参数server_id未进行过滤，可导致post型的sql注入。修复方案：过滤。..[详情]

谈谈www.pei.net.ph仿冒入侵菲律宾的整体性分析 -关注热度:17

菲律宾事件后,网络上闹的沸沸扬扬,当然有一些爱国青年,无论所谓红客,黑阔,只能说做信息安全的,还是做了一定的反击,当然也攻破了部分菲律宾政府的某些网站,当然一想起传说中的菲..[详情]

Discuz NT 多个版本文件上传漏洞 - 网站安全 - 自学关注热度:20

受影响版本：貌似都受影响。漏洞文件:tools/ajax.aspx漏洞分析:这个页面里的ajax请求，都没有进行权限的验证，游客权限就可以调用其中的所有方法，很危险的写法，于是有了下面的漏洞..[详情]

网站如何防范“上传漏洞”入侵 - 网站安全 - 自关注热度:16

上传漏洞入侵是目前对网站最广泛的入侵方法。90%的具有上传页面的网站，都存在上传漏洞。本文将介绍常见的上传漏洞及其防范技巧。一、能直接上传asp文件的漏洞如果网站有上传页..[详情]

乐视网某频道SQL注射及修复 - 网站安全 - 自学p关注热度:21

注射点：http://netkuu.letv.com/play.asp?id=2918古老的防注，呵呵。。。cookie转发注入db_owner ，2000 ，是不是可以拿shell?大家说说。。。此站注入点应该较多，就不一一看了。。。修复方案：应该..[详情]

PHP-CGI漏洞成因原理剖析和利用 - 网站安全 - 自学关注热度:33

PHPCGI漏洞最早由国外安全研究者于近日公开，其实际存在的时间则长达约8年之久。据360网站安全工程师介绍，该漏洞是用户将HTTP请求参数提交至Apache服务器，通过mod_cgi模块交给后端的..[详情]

itpub技术论坛源码下载及某程序注射漏洞 - 网站安关注热度:18

服务器设置不当，导致该网站源码可以被下载详细说明：网站使用svn管理版本，却未对.svn目录未加访问权限限制，漏洞证明：xxx@xxx /www/itpub.net $ curl http://www.itpub.net/.svn/entries可以得到..[详情]

联想中国某分站泄露数据库账户密码信息泄露关注热度:21

联想中国分站lepadlaile.lenovo.com.cn 配置不当泄露重要安全信息。可能导致在内部网络可能进行Host : 10.10.83.92User : minisitePassWord : minisite!2#4%6漏洞证明：数据库连接文件可进行下载http://l.....[详情]

防止数据库被注入恶意代码 - 网站安全 - 自学关注热度:17

数据库被恶意注入代码是非常致命的问题，主要的手段有：利用程序漏洞，用一段程序就可以测试出来，主要体现在前台提交的一些表单上没有对非法字符进行过滤！那么我们如何防止..[详情]

论DDOS拒绝服务攻击防御体系的建设 - 网站安全关注热度:37

在网站发生DDOS拒绝服务攻击时，EeSafe在帮助网站解决时采用的方法中确定DDOS攻击类型是第二个环节，也是在解决DDOS中承上启下的一步。..[详情]

WanHu ezoffice控制不严格致上传任意文件漏洞 - 网站关注热度:145

万户oa系统对发布公告的图片上传控制不严，造成可以上传任意文件！详细说明：打开公告中上传图片的页面查看url如下：http://www.2cto.com /defaultroot/public/jsp/multiupload.jsp?path=informationfile..[详情]

凡客诚品手机版SQL注射及修复方案 - 网站安全关注热度:37

注入点在：http://m.vancl.com/注入地址：http://m.vancl.com/order/GetOrderDetail/.mvc?orderid=orderid and 1=2 union select 1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,6,7,8,9,0,1,2,3,4,5,.....[详情]

cms4j权限绕过致使后台登陆用户密码遭泄露 - 网站关注热度:30

cms4j的防火墙文件配置不当，可以直接查看后台登陆的用户名和密码，漏洞文件存在于cms4jadmin/firewall/firewall_detail.jsp。任何人都可以查看。无需后台登陆。防火墙会自动截取所有的登陆用..[详情]

servu/serv-u通过替换servudaemon.ini提升权限，结合任关注热度:23

1.servu 6.3/6.4以及7.0,8.0等都存在目录遍历漏洞。使用可写帐号登录（如果是匿名ftp，则只有读取权限）C:\Documents and Settings\Administratorftp 127.0.0.1Connected to 127.0.0.1.220 Serv-U FTP .....[详情]

Wordpress 3.3.1多个CSRF缺陷及修复 - 网站安全 - 自学关注热度:15

标题: Wordpress 3.3.1 Multiple CSRF Vulnerabilities下载地址 : http://wordpress.org/wordpress-3.3.1.zip作者: http://wordpress.org影响版本: 3.3.1 及更低. 可能 3.3.2 也受影响测试平台: D.....[详情]

盛大网络某分站搜索型SQL注入漏洞 - 网站安全关注热度:25

分站存在SQL注入漏洞，导致web应用系统用户资料泄露或恶意攻击网站详细说明：http://114.sdo.com/select.aspx 处存在搜索型SQL注入漏洞Injection URL: http://114.sdo.com/select.aspx?search=99999999Inject.....[详情]

99宿舍注入可导致信息泄露 - 网站安全 - 自学ph关注热度:37

99宿舍是查询四六级成绩的地方，网站使用oracle数据库，存在注入，期中信息量是非常大的，如果数据泄露，你们懂得。详细说明：http://tkk.99sushe.com/coursecommentlist.aspx?id=51http://tkk.99sush..[详情]

老树开花 一个js函数引发的命案 - 网站安全 - 自关注热度:26

很多网站系统把一些功能在客服端执行（javascript）,而服务端没有相应的验证,从而被非法利用。本文就是一个js函数使用不当,导致网站以及整个服务器沦陷的案例。 前端漏洞挖掘最新安..[详情]

Baby Gekko CMS v1.1.5c多个存储型XSS - 网站安全 - 自学关注热度:15

Baby Gekko CMS v1.1.5c Multiple Stored Cross-Site Scripting Vulnerabilities开发者: Baby Gekko, Inc. http://www.babygekko.com影响版本: www.2cto.com 1.1.5cSummary: BabyGekko strives .....[详情]

PluXml 5.1.5本地文件包含缺陷及修复 - 网站安全关注热度:32

开发者网站: pluxml.org缺陷影响版本: 5.1.5 及以前已测试版本: 5.1.5补丁时间: 16 April 2012问题类别:本地文件包含修复状态：作者已修正高危日志High-Tech Bridge SA Security Research Lab has .....[详情]

织梦5.7注入加上传漏洞及修复 - 网站安全 - 自学关注热度:21

会员中心查询会员信息语句过滤不严，导致url可提交注入参数；会员中心有上传动作过滤不严，导致上传漏洞详细说明：①注入漏洞。这站http://www.XXX.com/首先访问/data/admin/ver.txt页面获取..[详情]

ASPCMS留言板注入可直接将一句话木马插入数据库关注热度:117

aspcms主要是信息发布系统，影响版本为asp。漏洞成因，在留言板处对信息处理不当，导致代码注入。可直接将一句话木马插入数据库。数据库默认配置为asp.目录在/data/data.asp下。利用方..[详情]