iteye的疑似rails框架漏洞，可以越权发表博客 -关注热度:15

漏洞原理可能类似：http://www.2cto.com/Article/201203/122344.html自己发表一篇博客，然后修改此文，数据包中，添加blog[user_id]=XXX就变成另外个人发的博文了还好iteye很难知道另外一个人的id，危..[详情]

Saman Portal本地文件包含缺陷及修复 - 网站安全关注热度:22

===========================================================标题: [Iranian] Saman portal LFI作者: TMT邮箱: taktaz_m2800[a.t]yahoo.com类型: PHP软件地址: http://www.sis-eg.com概述:缺陷在模块/.....[详情]

Zend Server 5.6.0多个远程脚本插入缺陷及修复 - 网站关注热度:9

!--标题: Zend Server 5.6.0 Multiple Remote Script Insertion Vulnerabilities作者: Zend Technologies Ltd.产品主页: http://www.zend.com影响版本: Zend Server 5.6.0 *Zend Optimizer+ .....[详情]

PHP Address Book 6.2.12多个安全缺陷及修复 - 网站安全关注热度:19

标题: PHP Address Book 6.2.12 Multiple security vulnerabilities作者: Stefan Schurtz影响软件: Successfully tested on PHP Address Book 6.2.12开发者网址: http://sourceforge.net/proje.....[详情]

maccms鸡肋上传漏洞及修复 - 网站安全 - 自学php关注热度:31

一小程序，无意间看到的顺便就看了下./admin/editor/upload.php require_once (../admin_conn.php); $action=be(get,action); $ftypes=array(#39;jpg#39;,#39;gif#39;,#39;bmp#39;,#39;png#39.....[详情]

搜搜问问小偷程序天宇版 前台任意文件读取 后台关注热度:38

打算用小偷程序做一个网站的就下载了一套程序结果就悲剧了下载地址：http://www.2cto.com/ym/201203/31432.html1、前台任意文件读取漏洞：img.php文件代码?php$p=$_GET[#39;p#39;];$pics=file($p);for($i=0;$..[详情]

方卡在线文件上传导致任意代码执行缺陷及修复关注热度:21

客服给出在线考试系统测试后台后台上传控制不严后台上传设置 过滤ASP 但是可以用AASPSP 突破权限设置不严导致拿下整个站点 以及其它分站漏洞证明： 修复方案：禁止上传ASP 等上传目..[详情]

织梦CMS修改版DJ程序存在SQL注射及修复 - 网站安关注热度:17

个人主页系统存在SQL注射漏洞证明：修复方案：过滤作者 h4k3r@乌云..[详情]

Promise WebPAM v2.2.0.13多个远程缺陷及修复 - 网站安关注热度:31

Promise WebPAM v2.2.0.13 Multiple Remote Vulnerabilities开发者: Promise Technology, Inc.产品主要: http://www.promise.com影响版本: 2.2.0.13摘要:WebPAM is a web based Promise Array .....[详情]

Iciniti Store SQL注射及解决方案 - 网站安全 - 自学关注热度:31

Sense of Security - Security Advisory - SOS-12-003影响产品：Iciniti Store平台： Windows影响版本 4.3.3683.31484已确认,其他版本也有可能高位级别影响 Manipulation of data攻击者 远程无认证.....[详情]

45位md5变异加密及解密过程 - 网站安全 - 自学ph关注热度:84

作者:小波昨天 猴子让人丢了个单子过来 我做。。。站是拿下了！可是boss让咱拿数据。。。没办法只能继续往下搞咯。。。经过漫长的翻阅7大数据库几百个表我就不说了，你可以幻想一..[详情]

搜狐的两个SQL注射及修复 - 网站安全 - 自学php关注热度:17

http://card.money.sohu.com/yh/card_product.php?id=70漏洞证明：http://card.money.sohu.com/yh/card_product.php?id=70%20and%201=2%20union%20select%201,user(),3,4,database(),6,7,8,9,10,11,12,13,14,15,.....[详情]

比亚迪照明官网SQL注入漏洞(可提权)及修复 - 网站关注热度:16

详细说明：http://www.bydlighting.cn/比亚迪集团照明网站多个文件存在Mysql注入漏洞，导致获取系统权限威胁内网安全。漏洞证明：http://www.bydlighting.cn/test.txt修复方案：开发人员懂的。作者..[详情]

如何防范XSS跨站脚本攻击—测试篇 - 网站安全关注热度:18

Reflected XSS（反射跨站脚本攻击）这是最常见也是最知名的XSS攻击，当Web客户端提交数据后，服务器端立刻为这个客户生成结果页面，如果结果页面中包含未验证的客户端输入数据，那么..[详情]

XSS跨站脚本攻击和防范 - 网站安全 - 自学php关注热度:21

一、XSS挂马攻击过程模拟下面以动网DVBBS论坛为例模拟攻击者进行详细操作：步骤1：从网上下载动网DVBBS论坛源代码并在IIS中进行配置，再打开论坛的主页index.asp，如图。注册一个低权限..[详情]

PHP编程要注意的安全问题 - 网站安全 - 自学php关注热度:27

下午去百度面试，被问到编码时要注意的安全问题时，没能很好的回答，回来学习总结一下。这学期选了一个《网络攻击与防范》的课，也学了很多网络安全的东西，对网络安全的重要..[详情]

HomeSeer HS2 and HomeSeer PRO多个缺陷及修复 - 网站安全关注热度:16

HomeSeer Home Automation Software Multiple Web Vulnerabilities (0day)作者: Silent_Dream下载地址: http://www.homeseer.com/pub/setuphs2_5_0_49.exe影响版本: 2.5.0.49测试平台: Win XP注释: .....[详情]

Web安全开发注意事项 - 网站安全 - 自学php关注热度:18

1.sql注入：这个很常规了，不要拼字符串以及过滤关键字都可以防住，需要注意的是，Cookie提交的参数也是可以导致注入漏洞的。2.旁注：就是说在保证自己的程序没问题的同时，也要保..[详情]

教育部网站被入侵事件的一点小猜测 - 网站安全关注热度:16

刚才上网说教育部网站被黑了。报道请看：http://www.2cto.com/News/201203/122623.html从目录得到的信息来看，只是利用某种漏洞成功上传了文件，并未得到其他权限或更深层次的东西。教育部的..[详情]

用Suhosin给你的php打上内核级安全补丁+禁用eval函关注热度:22

www.2cto.com：可参考：http://www.2cto.com/Article/201101/81706.htmlhttp://www.2cto.com/kf/200804/25500.htmlSuhosin是朝鲜语守护神的音译，是一个专门的安全小组开发的专门针对php进行安全加固的补丁程 序...[详情]

deV!L`z Clanportal Witze Addon Versions 0.9的一个简单sql注关注热度:100

标题: deV!L`z Clanportal Witze Addon Versions 0.9 SQL Injection Vulnerability作者: Easy Laster下载地址: http://dzcp-zone.de/downloads/?action=showid=97影响版本: Witze Addon Version.....[详情]

AneCMS v.2e2c583本地文件包含缺陷及修复 - 网站安全关注热度:15

标题: AneCMS v.2e2c583 LFI exploit作者Author: I2sec-PJH软件开发网站: https://github.com/AneGroup/AneCMS影响版本: v.2e2c583概述source of index.php页面存在缺陷代码分析如下1. if(isset($_GET.....[详情]

叫停fsockopen phpddos处理方案 - 网站安全 - 自学ph关注热度:24

www.2cto.com：这个文章没有超出以前的解决方法，还是那些，一个是禁止函数，一个是封端口。实际用在运用中会带来一些例如不能采集之类的问题，红黑联盟官方微博曾经讨论过这个问..[详情]

Java中SQL injection 分析（初级篇） - 网站安全 - 自关注热度:22

随风潜入夜（doie.Netjavaweb.org）Java中有SQL注入吗？怎么注入？注入的前提是什么？让我们一起来分析下Java中的SQL注入可行性吧。首先创建名为javaweb的数据，包含表：ad。Ad表包含的字段有..[详情]

XSS-从weibo蠕虫事件学习 - 网站安全 - 自学php关注热度:21

XSS攻击：跨站脚本攻击（Cross Site Scripting），为不和层叠样式表（Cascading Style Sheets, CSS）的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞，它允..[详情]

DEDECMS 5.7友情链接xss漏洞及修复 - 网站安全 - 自学关注热度:78

简要描述：dedecms5.7的xss漏洞详细说明：dedecms5.7(别的版本也存在)对友情链接申请的网址填写没有进行过滤和限制，导致可以使用xss进行入侵。漏洞证明：修复方案：对网址字段的填写进..[详情]

19楼多个频道xss及修复 - 网站安全 - 自学php关注热度:22

1.过滤不足造成贮存型xss详细说明：漏洞证明：这地方可以插任意标签和字符修复方案：过滤掉标记，过滤掉单双引号2.博客是很旧的程序了，自定义模块里可以插入任意的htm代码，但是..[详情]

TOM在线某分站注入漏洞及修复 - 网站安全 - 自学关注热度:26

简要描述：TOM在线某分站注入漏洞，过滤不严，信息泄露。详细说明：点查询，就会出错...过滤不严，随便构造一个...http://data.nbl.tom.com/userteam.php?team_no=NTe008就存在sql注入漏洞...漏洞证..[详情]

黄金搭档网站各种目录遍历SQL注入及修复 - 网站关注热度:16

今年过节不收礼啊，收礼只收萌大爷。赚了那么多钱，还有个巨人网络，柱哥怎么就不把这个网站搞的好好的呢。。貌似这网站好长时间没更新了，要弃用的话，赶紧关了吧，这样放着..[详情]

跨站语句大全 - 网站安全 - 自学php关注热度:34

scriptalert(跨站)/script (最常用）img scr=javascript:alert(跨站)/imgimg scr=javascrip#116#58 alert(/跨站/)/imgimg scr=javas????cript:alert(/跨站/) width=150/img (?用.....[详情]