CSRF攻击的原理解析与对策研究 - 网站安全 - 自学关注热度:20

1、引言 跨站点请求伪造(CrossSite Request Forgery)．以下简称CSRF。是一种广泛存在的网站漏洞。Gmail、YouTube等著名网站都有过CSRF漏洞．甚至包括ING DIRECT这样的荚国第四大储蓄银行的金融机构..[详情]

新浪子域名后台sql注射引发的血案 - 网站安全关注热度:36

后台直接用admin#39;or 1=1# 登陆 找到注入点MYSQL外连详细说明：目标站http://bes.sina.net进入后台 竟然还要账号密码。。开什么玩笑直接用户名admin#39; or 1=1#密码随意写123456 成功登陆ok点来点..[详情]

PHP-5.3.9远程执行任意代码漏洞(CVE-2012-0830) - 网站关注热度:23

还记得我之前说的PHP Hash Collisions Ddos漏洞吧? 最初的时候, 开发组给出的修复方案, 采用的是如果超过max_input_vars, 就报错(E_ERROR), 继而导致PHP出错结束. 而后来, 为了更加轻量级的解决这个..[详情]

建站之星(SiteStar)网站建设系统 V2.2上传漏洞及修关注热度:20

漏洞形成需要iis6http://qiche11a36.site3.sitestar.cn/qiche11a36/wwwroot/admin/FCKeditor/editor/fckeditor.html没设置权限我就在虚礼机测试SiteStar V2.2修复方案：设置访问权限作者 熊猫先生..[详情]

动网ASP8.3的一个拿shell方法 - 网站安全 - 自学ph关注热度:16

作者 熊猫先生..[详情]

腾讯qq手机空间及微薄的xss - 网站安全 - 自学ph关注热度:14

手机空间留言板表情采用[em]e100[/em](为笑脸表情)格式。可将恶意代码插入到[em]e100xss[/em]进行攻击，盗取用户的身份验证信息并访问用户的空间。然后查看隐私相册等私密内容。漏洞证明..[详情]

凡客诚品某频道再暴SQL注入漏洞及修复 - 网站安关注热度:14

再暴差不多同样的SQL注入漏洞。注入地址：http://bbs.vancl.com/space/manage/ajax.aspx?AjaxTemplate=../../admin/usercontrols/ajaxtopicinfo.ascxposter=1#39;) and 1=1--http://bbs.vancl.com/space/man.....[详情]

新浪子频道的几个注入及修复 - 网站安全 - 自学关注热度:13

http://city2010.house.sina.com.cn/list_suining.html?type_ext=2Current DB: city2010_house_sina_com_cn作者 帅气凌云http://t.auto.sina.com.cn/celebrity/celebritytype.php?type=5+or+1+group+by+conca.....[详情]

PicoPublisher v2.0远程SQL注射及修复 - 网站安全 - 自关注热度:19

标题: PicoPublisher v2.0 Remote SQL injection作者: ZeTH www.2cto.com zeth/at/hacktheplan8/dot/com开发者: Pico Software http://pico.no/影响版本 : 2.0售价: $29,00::::::::::::::::::::::.....[详情]

程序设计者需要谨记的九大安全编码实践 - 网站关注热度:16

历史已经证明，软件设计的缺陷一直是导致其被漏洞利用的最主要的罪魁祸首，安全专家发现，多数漏洞源自常见软件的相对有限的一些漏洞。软件开发者和设计者应当严格检查程序中..[详情]

通过设计来保证Web应用程序安全 - 网站安全 - 自关注热度:23

应用程序并不是一成不变的，它们可能一开始只是一组功能，然后添加上元素并与其他应用程序合并变成其他复杂的应用程序。随着应用程序的越来越复杂，漏洞越来越多，特别是托管..[详情]

EZEIP3.0多页面上传验证漏洞及修复 - 网站安全 -关注热度:25

1.修改IE浏览器的安全设置，调制最高，然而禁止js执行。2.打开修改上传类型页面，添加aspx类型，点击保存，再打开上传页面上传存在问题的上传类型页面：http://www.sitedirsec.com/whir_sys..[详情]

wap版新浪微博存在html代码过滤不全的bug - 网站安关注热度:21

修复方案：前端同学懂的。作者mckelvin..[详情]

Total Commander 自校验算法分析 - 网站安全 - 自学关注热度:24

作 者: uuk【软件名称】: Total Commander【软件版本】: 7.56a【加壳方式】: 新版不加壳【编写语言】: Borland Delphi 2.0 [Overlay]【使用工具】: OD PEID IDA【操作平台】: Windows XP【软件介.....[详情]

安全管家网站多个注射+nginx配置不当漏洞及修复关注热度:20

简要描述：多个注射+nginx配置不当，直接getshell详细说明：117.135.130.111 -[5] - nginx/0.9.3http://bbs.anguanjia.comhttp://bbs.aqgj.cnhttp://wap.anguanjia.comhttp://www.anguanjia.comhttp://www.an.....[详情]

新浪某分站存在SQL注入漏洞及修复 - 网站安全关注热度:12

一个分站的某个文件泄漏了后台地址,后台登录框存在注入.详细说明：问题发生在http://us-sms.sina.com/这个网站上,是一个发送国际短信的网站.很多年前的站点.不过我尝试了下,还是可以发送..[详情]

小米科技网站群(子站)漏洞集锦 - 网站安全 - 自学关注热度:20

1:网站＋论坛的错误信息泄露2:跨站攻击3:任意文件下载4:会话管理隐患后续有新发现会继续更新。漏洞证明：1:网站＋论坛的错误信息泄露http://res.api.miui.com/index.phphttp://bbs.xiaomi.com/uc_se..[详情]

vBshop持久XSS及修复 - 网站安全 - 自学php关注热度:22

标题: vBshop persistent XSS 0day作者 : ToiL下载地址: http://www.dragonbyte-tech.com/影响版本:全部#Greeting from Team Odyessy.#Today we will release a 0day for the vBulletin mod,.....[详情]

Family CMS 2.9及更早版本的多个缺陷及修复 - 网站安关注热度:25

标题: Family CMS 2.9 and earlier multiple Vulnerabilities下载地址:http://sourceforge.net/projects/fam-connections/files/Family%20Connections/2.9/FCMS_2.9.zip/download作者: Ahmed Elhady M.....[详情]

DZ升级/DX转换程序考虑不当导致用户遗留信息被黑关注热度:19

（名词解析：DZ=Discuz!；DX=Discuz! X；UC=UCenter；PW=phpwind）众所周知的是，DZ = 6.0，PW = 8.7的用户密码都是简单的md5，存在被拖库后被轻易暴力破解的问题。于是乎康盛在开发UC的时候，就加..[详情]

win2008下如何快速安装PHP，并做好安全设置 - 网站关注热度:10

虽然现在跑PHP的最佳选择还是Linux,但是随着Windows Server 2008 的出现，前者和后者的差距已经大大缩小，对于不懂Linux操作的朋友，可以丢弃Windows 2003 Server了，选择更好的Windows Server 2008。..[详情]

一个简陋的web站点文档安全访问方法 - 网站安全关注热度:99

//在2CTO.COM网站的跟目录下建立一个文件.htaccess,并且编辑Authname 2CTO.COMAuthType BasicAuthUserFile /etc/httpd/vconf.d/2CTO.COM.htpasswdRequire valid-user//建立2CTO.COM 域的密码文件,并且文件.....[详情]

搜索引擎投毒攻击方式的原理及如何防范 - 网站关注热度:19

一、什么是搜索引擎投毒？搜索引擎投毒这种攻击，能够利用搜索引擎来显示搜索结果，该结果包含着对交付恶意软件的网站的一个或多个引用。有多种方法可以执行搜索引擎投毒，其..[详情]

fckeditor上传.变_突破 - 网站安全 - 自学php关注热度:25

有很多已经修补过的fckeditor 我们上传x.asp;y.jpg的时候 通常会变成x_asp;y.jpg 让我们的马失效利用二次上传 可以 生成x(2).asp;y.jpg 可以突破 有些时候打了补丁的 让我们还是无法突破 通常 我..[详情]

多多返利淘宝客后台任意文件读取缺陷及修复关注热度:23

简要描述：后台有扫描木马功能，可以查看任务文件源码。详细说明：算是个鸡肋，利用注入漏洞进后台读取数据库配置文件社工等。测试了两个站运气好都成功社工。拿shell碰到了些问..[详情]

嘀嗒团SQL注射及修复 - 网站安全 - 自学php关注热度:47

1，http://beijing.didatuan.com/team/?addr=%E6%8A%A0%E6%8A%A0%E7%BD%91从在sql注射2，http://www.didatuan.com/admin 后台地址，而且没有验证码通过sql注射可以获取用户资料(电话，手机，邮箱等信息)，还有可..[详情]

.svn目录未设权限限制的漏洞利用总结(含修复方案关注热度:26

有的站点使用.svn来做生产环境版本控制，但是.svn目录没有做访问权限限制，可以通过.svn/entries来遍历文件和目录列表。 为了节约体力，我写了一个php脚本(http://rains.im/?q=node/18)来做这件..[详情]

蚂蜂窝手机应用背后的HTTP API接口存在SQL注入漏洞关注热度:13

蚂蜂窝手机应用背后的HTTP API接口存在SQL注入漏洞。同时在这里，非常严肃非常严肃地提醒所有手机应用的开发者，在开发对应的与服务器通讯的API接口时，不要认为加密数据传输就能安..[详情]

网易某分站多些SQL注射漏洞及修复 - 网站安全关注热度:12

简要描述：注射可导致主机相关信息泄露，以及进一步的渗透。望管理员及时修复，以免造成对主机安全影响。详细说明：http://rainbowlife.163.com/chxw2.php?articleID=98%27%20%20%20And%201=2%20UNION%..[详情]

Timthumb缩略图插件漏洞简介与演示 - 网站安全 -关注热度:18

www.2cto.com：不是新文章了，但是站里没有，发出来供大家参考首先这个洞已经出来非常久了，应该是8月份就出来了，但是补的人不多。所以危害还是比较大的！Timthumb插件干嘛的也就不..[详情]