从Github被 Hack，谈Rails的安全性（ Mass-assignment ）关注热度:35

关于 Github 被入侵这件事，目前在国外开发圈传的沸沸扬扬。看来中文圈还没有消息，我来报导一下到底发生了什麽事好了。顺便宣导一下开发 Rails 程式码需要注意的其中一个观念..到底..[详情]

xss代码:asp截取cookie发送到邮箱 - 网站安全 - 自学关注热度:24

具体看代码吧，比较习惯用php搞，还是弄一份asp的代码好了。Xss获取cookie的简单示范代码，当然，你可以进行二次加工，获取更多的信息。js代码：var xmlHttp; try { // Firefox, Opera 8.0+, Safa..[详情]

关闭网站的危险的wscript.shell, Shell.application, WSc关注热度:83

将下面的代码保存为一个.BAT文件，( 以下均以WIN2000 为例，如果使用2003，则系统文件夹应该是C:\WINDOWS\ )regsvr32/u C:\WINNT\System32\wshom.ocxdel C:\WINNT\System32\wshom.ocxregsvr32/u C:\WINNT\.....[详情]

当服务器不支持php时如何用UDF或者其他DLL提权关注热度:27

xxoo.sqlUse mysql;Select locad_file(d:\\wwwroot\\test\\udf.dll) into dumpfile #39;d:\\mysql 5.1\\lib\\plugin\\xxoo.dll#39; ;//如果是LPK.DLL劫持之类的下面就可以无视了create function cm.....[详情]

Xpath注入攻击 - 网站安全 - 自学php关注热度:38

www.2cto.com：可以结合本文查看：http://www.2cto.com/Article/200710/19153.html1 Xpath注入攻击概述1.1 Xpath定义 XPath注入攻击是指利用XPath 解析器的松散输入和容错特性，能够在URL、表单或其它信息上..[详情]

XRS - Cross Relative Scripting - 网站安全 - 自学php关注热度:19

介绍XRS 是Cross Relative Scripting Which Means Scripting the site With 3Rd Party resource.With XRS We can Do Spreading,XSS Tunnel,Phishing Etc.As it was a very affective m.....[详情]

举2例讲解LDAP注入 - 网站安全 - 自学php关注热度:38

概述LDAP Injection is an attack used to exploit web based applications that construct LDAP statements based on user input. When an application fails to properly sanitize .....[详情]

Full Detailed Basic SQL Injection - Zer0PwN - 网站安全 - 自关注热度:31

---------------------------------------------------GR33TZ T0 Zer0Lulz Groupd0nt L33chAuthor Zer0PwnPaper= Sql Injection TutorialHomep4ge % Hackforums.net----------------------------.....[详情]

XSS (Cross-Site-Scripting)笔记 - 网站安全 - 自学php关注热度:20

Cross-Site-Scripting也称跨站脚本攻击,缩写通常为XSS.或者先到这里补充下知识：http://en.wikipedia.org/wiki/Cross-site_scripting由于工作需要最近在研究一些常用的攻击方式和漏洞，用以预防和修复..[详情]

OAuth工作原理随想——让你的系统提供的服务更加关注热度:25

最近这段时间，一直都在和web服务打交道。自己项目组的系统需要别的项目组提供服务接口；别的平台（手机）平台又需要我们这边给它们提供接口。实现、调用、接口文档都有所涉及..[详情]

一个黑客对主流外贸B2C网站系统攻防的说道（一关注热度:16

很多人对黑客既向往，又害怕，特别是个人站长，其实害怕是多余的，黑客大多是有原则的（没有原则的大多拿不了你的站。），价值也是他们看重的。先介绍下自己，男，25，二个月前..[详情]

高危IIS6.0文件名解析漏洞终极解决办法 - 网站安关注热度:15

www.2cto.com：这篇文章设计方法应该是早就出来了，内容涉及引用，请大家参考我之前就发现这个漏洞，我也无奈，后来我想到了rewrite这个东西，它可以用正则表达式匹配URL进行处理。..[详情]

好孩子育儿网多处注入及修复方案 - 网站安全关注热度:16

简要描述：好孩子育儿网多处SQL注入,过滤不严格，用户资料泄露。详细说明：Web Server: nginx/1.0.6DB Server: MySQLCurrent DB: adhttp://a1.goodbaby.com/ad_alt_js.php?zoneid=678http://ad.goodbaby.c.....[详情]

某企业系统存在注入及修复方案 - 网站安全 - 自关注热度:14

简要描述：某企业系统的info_cont.asp文件存在注入漏洞，全站没有过滤特殊字符啊亲！详细说明：某企业网站系统的info_cont.asp文件存在注入。看下代码%@LANGUAGE=VBSCRIPT CODEPAGE=936%!--#include..[详情]

rivettracker <=1.03多个sql注射缺陷及修复 - 网站安关注热度:21

标题: Multiple SQL injections in rivettracker =1.03作者: Ali Raheem下载地址: http://www.rivetcode.com/software/rivettracker/版本: =1.03测试平台: Linux guruplug-debian 3.1.7 #2 PRE.....[详情]

Endian UTM Firewall v2.4.x & v2.5.0多个网页缺陷及修关注热度:20

标题：Endian UTM Firewall v2.4.x v2.5.0 - Multiple Web Vulnerabilities概述:=============Einfach, schnell und zukunftssicher! Die ideale Louml;sung, um Ihre Filialen und indu.....[详情]

phxEventManager 2.0 beta 5 search.php search_terms SQL注射及关注热度:38

标题: phxEventManager 2.0 beta 5 search.php search_terms SQLInjection Vulnerability作者: skysbsb下载地址: http://sourceforge.net/projects/phxeventmanager/测试平台: Apache/*nix实力地址: .....[详情]

一个防注入的小白错误-千博企业程序 - 网站安全关注热度:16

千博企业站程序，防注入语句里有一个小白错误！详细说明：If EnableStopInjection = True ThenIf Request.QueryString Then Call StopInjection(Request.QueryString)If Request.Cookies .....[详情]

一次web木马解剖 - 网站安全 - 自学php关注热度:31

木马解剖：这是一段JS木马，请一定谨慎，不要在浏览器中执行。但在本站本文中阅读是安全的，本文url如下http://www.path8.net/tn/archives/4235 ；但笔者不能保证对本文的转载也是安全。scr..[详情]

wordpress被挂马的清理过程兼木马解剖简记 - 网站关注热度:24

今天真的载了，居然wordpress也被挂马了，太不可思议了。事情如下：晚上发篇文章，突然想到了一个对wordpress进行改进的方案，图片/附件与web分离，当然这个需求可能极少见，因为大多..[详情]

搜一次cms php绕过验证缺陷及修复 - 网站安全 - 自关注热度:20

作者：z2681From：90sec漏洞文件 admin 目录下的admin_loginstate.php看代码if(empty($_COOKIE[#39;S_AdminID#39;])){ echo scriptwindow.location=#39;admin_login.php#39;/script; exit; }els.....[详情]

shypostShyPost企业网站管理系统若干漏洞及修复 -关注热度:18

ShyPost企业管理系统拥有十几种模板，用户可自由选择，不同模板后台管理功能是一样的，以下 为其中一个模板的前后台测试，欢迎用户测试。 后台演示：http://www.shypost.com/demo/admin 测试..[详情]

企成电气公司企业网站管理系统v1.0(中英文版)漏关注热度:13

文件：Company.asp%ID=trim(request.QueryString(id))if ID= then ID=1set Rs = server.createobject(adodb.recordset)Rs.source = select * from Company where ID=IDRs.open Rs.so.....[详情]

和佳软件NERP9.0 多个漏洞 - 网站安全 - 自学php关注热度:81

简要描述：见图吧漏勺系统感觉是临时工写的软件详细说明：NERP管理界面可被暴力猜解http://ip/nerp/login.jsphttp://ip/nerp/oa/login.jspSQL注入权限绕过http://ip/nerp/oa/main.jsp可直接登录获得管理员..[详情]

网易博客权限检查不严致博客中加密日志及草稿关注热度:29

简要描述：该漏洞可造成用户博客中加密日志（好友可见、私人可见）以及日志草稿泄露。详细说明：网易博客日志模块的AJAX请求接口通过URL参数传递用户等级（访客、好友、博主），..[详情]

建站互联智能建站系统过滤不全导致获取webshel关注热度:26

修复方案：过滤...过滤..[详情]

网趣购物系统旗舰版eshop后台拿webshell及修复 - 网关注热度:32

简要描述：eWebEditor 编辑器过滤不严，直接上传shell。虽然被重命名为jpg。但是后台有备份数据库功能，可以直接创建.asp文件夹，利用iis解析漏洞即可http://www.2cto.com /.asp/shop.mdb详细说明..[详情]

网龙91.com分站多个盲注及修复 - 网站安全 - 自学关注热度:38

简要描述：2个储存xss ，一个注射详细说明：储存型xsshttp://pandian.dsn.91.com/mingr.phphttp://pandian.dsn.91.com/gongh.phphttp://pandian.dsn.91.com/meir.phphttp://pandian.dsn.91.com/fuh.phphttp://l.....[详情]

上传漏洞助手之服务器解析 - 网站安全 - 自学p关注热度:17

上传漏洞可谓是网站入侵者最喜欢，最乐意的攻击手法，正因如此，程序员对上传文件的扩展名过滤，也是绞尽脑汁，从以前的黑名单过滤，通过判断扩展名是否为.asp,.asa,.cer等，到现在..[详情]

Spring MVC 如何防止XSS、SQL注入攻击 - 网站安全 -关注热度:23

在Web项目中，通常需要处理XSS,SQL注入攻击，解决这个问题有两个思路：在数据进入数据库之前对非法字符进行转义，在更新和显示的时候将非法字符还原在显示的时候对非法字符进行转..[详情]