phpPaleo本地文件包含缺陷及修复(CVE-2012-1671) - 网站关注热度:13

#39;phpPaleo#39; Local File Inclusion (CVE-2012-1671)Mark Stanislav - mark.stanislav@gmail.comI. 概述---------------------------------------缺陷位于index.php for language handling th.....[详情]

流氓青年博客被捅,回顾分析 - 网站安全 - 自学关注热度:16

博客前天被入侵了，首页被修改。流氓青年博客被捅,回顾分析 （摘）这两天整理了一下入侵痕迹,发出来大家一起学习。流氓青年博客被捅,回顾分析 （摘）所谓人在江湖飘,哪能不挨刀..[详情]

游戏谷SVN信息泄露致源码备份文件外泄下载及修关注热度:30

修复方案：正确使用SVN,线上服务器的源码一定要用SVN上的，必须使用导出功能。另外，服务器上要禁止用户访问SVN目录和文件。作者 悉..[详情]

对IIS防止CC攻击的研究 - 网站安全 - 自学php关注热度:40

最近博客换独立服务器了,就研究了一下IIS防止CC攻击我的思路是每2秒取当前网络连接IP列表,判断远程IP有没有超过100个连接数,有则添加到IIS黑名单禁止访问写成系统服务程序测试发现在..[详情]

CMS4J任意文件下载漏洞及修复 - 网站安全 - 自学关注热度:160

CMS4J文件下载未对路径进行过滤，可以下载任意文件详细说明：http://www.kunlunhealth.com/DownloadFile?type=fullfile=/../../../../../../../../../etc/passwd涉及部分gov网站。。漏洞证明：http://www.nndj......[详情]

港中能达快递后台登录页面注入及fckeditor编辑器关注热度:17

后台登录页面 使用#39;or#39;=#39;or#39; 直接登录，fckeditor编辑器构造表单上传。之前已经有大黑阔提权，或者脱裤。漏洞证明：http://www.nd56.com/fckeditor/editor/filemanager/connectors/aspx/conne.....[详情]

新浪轻博客存储型XSS - 网站安全 - 自学php关注热度:18

新浪轻博客存储型XSS，可以搞蠕虫哦详细说明：新浪轻博客在转发别人文章的时候，对转发评论在前端没有做正确编码，凡是关注的好友，在最新动态中，都会触发XSS。漏洞证明：页面..[详情]

HDWiKi(互动百科)V5.1两枚注入及修复 - 网站安全关注热度:34

好吧, 又是十几天没更新博客了 很多朋友让更新博客, 因为我想保证文章的质量, 不想发一些东西来滥竽充数, 所以可能博客今年的更新速度稍慢, 但是绝对能保证文章的质量也有朋友让我..[详情]

易游网吧留言板后台GetShell及修复 - 网站安全 -关注热度:22

看到论坛有人发了一这程序的文章，刚好没事情做就顺便看了下既然是找gs就先看看写出文件的吧functionWritePhpCache($filename,$array,$arrayname)//解析二维数组并写缓存{ $cachewrite =?php\n if(!defin..[详情]

将博CMS(JumbotCms) 3.1.3.3 漏洞及修复 - 网站安全 -关注热度:55

由于工作关系检测某站的时候发现的他的URL比较特别 有个cmsfile的目录 ；扫了下目录 发现有fck 因为版本比较低，可以遍历目录百度了一下没有人发，就发一下吧 比较低级的漏洞主要是..[详情]

凤凰分站注射漏洞读取配置文件获得网站路径T关注热度:9

这是网站注入点...漏洞证明：读取敏感文件，一个一个的读，慢死我了修复方案：终于有发现了:loveyou.cfgContent is : server{listen 80;server_name bbs.travel.ifeng.com bbsfile.travel.ifeng.com;ssi .....[详情]

TOM在线论区严重SQL注射漏洞可获取数据库信息关注热度:18

在线社区论坛存在SQL注射漏洞，情况严重，可获取主机以及数据库信息，望管理员速度修复，以免造成对主机安全威胁。详细说明：http://club.she.tom.com/users/userinfo.php?username=qiaofeiyu#39; a..[详情]

HDwiki某SQL注射和鸡肋文件包含 - 网站安全 - 自学关注热度:14

HDwiki某SQL注射和鸡肋文件包含详细说明：官方的案例：SQL注射http://wiki.madio.net/index.php?doc-summary-xxxxxxxxx%27文件包含http://gmanxin.baike.com/install/install.php?lang=888888888888/..此文件包含.....[详情]

凤凰网分站盲注漏洞及修复 - 网站安全 - 自学p关注热度:10

http://app.travel.fashion.ifeng.com/city_detail.php?id=96root盲注漏洞 可配合服务器的dz6.0论坛 拿到shell权限漏洞证明：只是大致分析了下 未做进一步的渗透修复方案：你们是专业的作者 TestRoot..[详情]

搜房网一些旧程序含多处SQL注入+1路径泄漏 - 网站关注热度:21

SQL注入：http://shdesign.soufun.com/mj10/jd/snews.asp?id=139http://dg.soufun.com/market/kanwu/display2.asp?id=163http://sh-greentown.soufun.com/viewnews.asp?id=260http://shdesign.soufun.com/cs/201.....[详情]

实战MySQL表名注入 - 网站安全 - 自学php关注热度:15

数值型和字符型比较常见，再有就是搜索型和cookies型的了，遇到一棒子站存在表名注入，什么穿山甲呀，萝卜呀统统认不出来这个点（也可能是我没配好），不过确实是个注入点，只好..[详情]

LVS+Keepalived+LNMP 组成防攻击假网站 - 网站安全关注热度:38

这是生产环境中一个项目，该公司的网站经常受到同行的ddos攻击，故需要搭建一个环境让攻击者攻击时候转到公司的假网站上。我的任务就是搭建抗攻击的假网站。我的设计这样的lvs（..[详情]

突破Sql 防注入过滤程序继续注入的一点方法、经关注热度:94

看了以下帖子想写一点东西，原帖内容如下：标题：防注入真的有用吗？作者：798146410时间：2012-2-22 21:39内容：现在网上流传很多防注入代码。这些真的有用吗？这是在网上找的一个防..[详情]

PHP双字节、宽字节编码漏洞 - 网站安全 - 自学p关注热度:40

用一个demo.php显示效果，代码如下：?phpheader(Content-Type:text/html;Charset=gb2312);echo $_GET[str]; //受污染的，但还有gpcechi br/;echo addslashes($_GET[str]); //调用addslashes函数.....[详情]

CLUB.TOM.COM存在严重注入漏洞泄露用户资料 - 网站关注热度:21

root权限......MAGIC OFF......修复建议更换运维..[详情]

58同城简历库资源泄漏，绕过限制查任何人简历资关注热度:29

58上的企业要看求职者简历有限制，好像现在免费能下载20条，但超了就要充钱才能看。。。此问题就是绕过这个限制。对权限的控制和验证不足导致任意用户简历泄漏，可进行批量采集..[详情]

新浪房产文件遍历及任意文件下载漏洞 - 网站安关注热度:13

http://supports.house.sina.com.cn/decor/stylephoto/photo_save.php?name=123url=/etc/passwd修复方案加强过滤验证..[详情]

对某钓鱼网站的一次渗透 - 网站安全 - 自学php关注热度:16

某天在淘宝上买了点东西，和店主确认几句之后，他发来一个链接，让我去支付。七转八转来到这个页面:我看了一下这个网址不对劲，是http://item.taobao.com-xxxx.co.tv/pay/，莫非我遇上了传..[详情]

Wordpress插件Buddypress远程SQL注射及修复 - 网站安全关注热度:18

标题: Buddypress plugin of Wordpress remote SQL Injection作者: Ivan Terkin类型: Remote Exploit漏洞: Remote SQL Injection软件下载地址: buddypress.org影响版本: 1.5.5及以下测试平台: .....[详情]

VC团SQL注射导致拒绝服务漏洞及修复 - 网站安全关注热度:19

该漏洞可登陆任意会员帐户，同时可修改管理员密码，也可挂掉MYSQL，让所有用户登陆不了。详细说明：漏洞证明：修复方案：你们懂的。作者 沉默..[详情]

搜狐手机博客的一个xss - 网站安全 - 自学php关注热度:43

http://news.wap.sohu.com/blog/?query=%3Cscript%3Ealert%28%27valo%27%29%3C%2Fscript%3Epg=blogSearchnid=72so=0bid=psYGxgamZwY%3Dso=0submit=%E6%90%9C漏洞证明：bodyscriptalert(#39;valo#39.....[详情]

CSRF导致新浪微博应用自动授权及修复方案 - 网站关注热度:23

利用此漏洞，第三方应用开发者可以在用户还没有点击授权按钮时，让用户在不知情的情况下自动授权其应用。From @齐萌详细说明：新浪微博对于第三方应用授权使用微博数据，是使用..[详情]

血腥！实况转播SQL注入全过程，让你知道危害有关注热度:31

前阵子发现公司的网站有SQL注入漏洞，向项目经理提了以后，得到的答复异常的冷淡：早就知道，这种asp的网站肯定有漏洞，要是Asp.net的网站就没问题，先暂不评价此说法对错，如此冷..[详情]

Landshop v0.9.2多个web缺陷及修复 - 网站安全 - 自学关注热度:33

标题：Landshop v0.9.2 - Multiple Web Vulnerabilities概述:=============The SAMEDIA LandShop#65533; is an innovative tool for the marketing, sale or rent of any kind of real .....[详情]

某外贸公司网站被加入的跳转代码解密 - 网站安关注热度:14

一机油所在的外贸公司网站被日，发现如下代码(掉牙了的)eval(function(p,a,c,k,e,d){e=function(c){return c.toString(36)};if(!#39;#39;.replace(/^/,String)){while(c--){d[c.toString(a)]=k[c]||c.toStrin.....[详情]