XSS漏洞验证语句 - 网站安全 - 自学php关注热度:24

XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。..[详情]

反映型XSS和持久型XSS - 网站安全 - 自学php关注热度:29

XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意攻击用户的特殊目..[详情]

通过0长度密码绕过MySQL认证 - 网站安全 - 自学p关注热度:57

www.2cto.com 一篇老文章了，站里还没有用户用一个精心构造的认证数据包可能会绕过数据库的密码认证注意: 为了使用这个脚本, MySQL的监听程序必须允许来自扫描的IP地址的连接。以下是..[详情]

SQL注入的几点误区 - 网站安全 - 自学php关注热度:34

大家存在5点误区：1、sql注入比较难防，需要替换select,delete等一打字符其实对于字符型替换再多都没有替换单引号为两个单引号来的好！对于数字型替换再多都没有用，一定要类型转换..[详情]

xss注入应对办法 - 网站安全 - 自学php关注热度:37

php中的htmlspecialchars () 这个函数，会把htmlspecialchars() 函数把一些预定义的字符转换为HTML 实体。预定义的字符是： （和号） 成为amp; （双引号） 成为#39; （单引号） 成为 （小于）.....[详情]

突破伪静态的四种注入方法 - 网站安全 - 自学p关注热度:689

伪静态，主要是为了隐藏传递的参数名，伪静态只是一种URL重写的手段，既然能接受参数输入，所以并不能防止注入。目前来看，防止注入的最有效的方法就是使用LINQ。常规的伪静态页..[详情]

精妙SQL语句精华 - 网站安全 - 自学php关注热度:57

说明：复制表(只复制结构,源表名：a 新表名：b)SQL: select * into b from a where 11说明：拷贝表(拷贝数据,源表名：a 目标表名：b)SQL: insert into b(a, b, c) select d,e,f from b;说明.....[详情]

浅析爆库和社工库扫描 谁能保护你的隐私? - 网关注热度:38

题记不只是CSDN着火了，谁能保护你的隐私，否则你将是坏人下一个猎物背景 只要你有微博，且关注互联网就会知道：国内最大的开发者社区CSDN的明文用户密码数据库已经被黑客拿到，..[详情]

分析腾讯网页登陆的加密机制 - 网站安全 - 自学关注热度:27

问题的引入：前些天，几乎是再同时，CSDN等几大门户网站用户密码被外泄了，我没有感到很惊讶。因为现在很多大型的网站对用户信息，特别是，想用户名、密码这样的信息保护不够完..[详情]

Akiva WebBoard 8.x SQL注射缺陷及修复 - 网站安全 - 自关注热度:31

标题: Akiva Webboard 8.x SQL Injection + Plaintext Passwordsin Profiles.作者: Alexander Fuchswww.2cto.com下载地址: http://www.akiva.com/default.asp?l=1id=8影响版本: 8.x测试平台: Win.....[详情]

Dede CMS所有版本注入 - 网站安全 - 自学php关注热度:56

标题 Dede Cms All Versions Sql Vulnerability Exploit作者: [ CWH ] | Finded By : Nafsh : Mr.M4st3r , Nafsh , Skote_Vahshat , HijaXwww.2cto.com Nafsh@live.com软件官方: http:.....[详情]

绕过后台登陆上传webshell - 网站安全 - 自学php关注热度:212

看到这个，大家都知道这是老生长谈了。不就ewebeditor么，网上一找一大堆我这里有些0day和exp是网上找的。但经验与技巧却是我自己的。技术重要，思路也很重要。不说废话了。看下文..[详情]

ColdFusion8 Hack Skills - 网站安全 - 自学php关注热度:70

最近碰到ColdFusion 的环境刚开始各种蛋疼 后缀名是cfm 格式基本上没接触过 也没个概念最开始以为就像搞php 的一样去源码里找database connect strings结果整个web源码看完了都没找到后来问了..[详情]

cfm本地包含漏洞利用 - 网站安全 - 自学php关注热度:48

1.读取metabase.xml/web.xml /password.properities敏感文件,得知www路径,coldfusion路径,coldfusion后台加密密码2.本地包含coldfusion日志,写cfm一句话,得到WEBSHELLhttp://www.2cto.com/index.cfm?action=../.....[详情]

江海客：由拖库攻击谈口令字段的加密策略 - 网关注热度:21

本文作者肖新光，网络ID江海客，安天实验室首席技术架构师，研究方向为反病毒和计算机犯罪取证等。如果有读者想要就安全问题和作者探讨，可以在微博@江海客。我不得不惨痛地写..[详情]

Winn Guestbook v2.4.8c Stored XSS - 网站安全 - 自学php关注热度:27

标题: Winn Guestbook v2.4.8c Stored XSS作者: G13下载地址: http://code.google.com/p/winn-guestbook/,http://www.winn.ws影响版本: 2.4.8c缺陷分析There is no sanitation on the input of .....[详情]

DIY-CMS blog mod SQL注射缺陷及修复 - 网站安全 - 自学关注热度:36

SQL Injection:BUG:http://www.2cto.com /diy-cms/mod.php?mod=blogmodfile=tagstag=featuresstart=[sqli]http://www.2cto.com /diy-cms/mod.php?mod=blogstart=[sqli]http://www.2cto.com /diy-cms/mod.....[详情]

PHP数组的Hash冲突实例 - 网站安全 - 自学php关注热度:29

上一篇文章, 我介绍了一个利用Hash冲突(碰撞)来对各种语言(包括,PHP, Java, Ruby等等)实施拒绝服务攻击的可能, 但是没有给出实例, 文章发出后, @Ferrari同学给出了一个另外一篇文章Supercoll..[详情]

一个简单的MongoDB注入 - 网站安全 - 自学php关注热度:20

安全警示，一个简单的MongoDB注入作者：nosqlfan在关系型数据库时代，SQL注入攻防几乎成了每一个Web开发者的必修课，很多NoSQL的支持者称NoSQL的同时也就No SQL注入了。其实不然，下面就是..[详情]

让.net程序自动运行在管理员权限下 - 网站安全关注热度:24

如何让.net程序自动运行在管理员权限下 VS2010 c# 编译的WINFORM程序 在Win7 以管理员身份运行 windows 7和vista提高的系统的安全性，同时需要明确指定以管理员身份运行才可赋予被运行软件比..[详情]

WHMCS (cart.php) 本地文件泄露缺陷及修复 - 网站安全关注热度:30

作者: R-t33n产品: WHMCS开发者: http://whmcs.com/影响版本: 4.x.x缺陷类型: Remote , webapps测试平台windows 2003 , Linux , ubuntu.+++++++++++++++++++++++++++++++++++++++++++++++++++++++++.....[详情]

织梦CMS系统 - 游客无限刷顶踩数值 - 网站安全关注热度:14

简要描述：只测试了DEDECMS V5.7系统,之前的版本估计也一样。在官方地址进行的简单测试,应该算是一个小BUG,利用这个可以无限的刷某篇文章的顶/踩 数值。详细说明：虽然前端页面做了..[详情]

51新炫舞手机注册方式设计缺陷（可引发恶意骚扰关注热度:20

简要描述：手机注册设计缺陷详细说明：http://x5.51.com/register/index.php?a=phone_reg上面是51 新炫舞的的手机注册连接如图:每隔60秒可下发一条短信,无限下发。这个在业内叫啥呢？这个叫短信..[详情]

Joomla模块Simple File Upload v1.3远程代码执行缺陷及修关注热度:31

?PHP/* -------------------------------------------------------------------------------- 标题: Simple File Upload v1.3 (module for joomla) Remote Code Execution Exploit -------------.....[详情]

小米科技网站漏洞全集及修复方案 - 网站安全关注热度:45

简要描述：简单通过Google搜索了一下，发现多个大小问题。详细说明：1、米聊官方论坛二次注入。http://www.discuz.net/thread-2354532-1-1.html打补丁。2、跨站脚本http://mi.xiaomi.com/%E6%96%B9%E8%B6%8..[详情]

新浪微博主站跨站漏洞及修复 - 网站安全 - 自学关注热度:27

简要描述：一个反射性的微博xss详细说明：http://weibo.com/zt/s?k=11603hasori=1filter_adv_search=#39;scriptalert(5934299);/script呼呼，自己去看看吧修复方案：过滤吧！！！！作者：Hxai11.....[详情]

MD5加密算法在网站数据库安全方面的应用与查表关注热度:41

编者按：本文作者为北师大的大三学生张俏，女Geek，在CSDN等各大网站的用户数据被泄露之后，她就MD5加密问题写下此文，发表了自己的看法，如果有读者想要跟作者进一步探讨，可以在..[详情]

新浪博客字符过滤不严导致执行任意代码（导致关注热度:29

简要描述：QQ天天收到广告：女人必看http://blog.sina.com.cn/u/2439749250是新浪的博客,其中插入一段代码,新浪并没有过滤,导致可以直接跳转详细说明：我们查看网页源码!DOCTYPE html PUBLIC -//W3..[详情]

Wordpress插件Mailing List任意文件下载 - 网站安全关注热度:17

标题: Mailing List plugin for Wordpress Arbitrary file download影响版本: 1.4.2作者: 6Scan (http://6scan.com) security team下载地址: http://wordpress.org/extend/plugins/mailz/官方修.....[详情]

捅伊朗黑客PP -- 后台登陆POST+错误回显 注入 - 网关注热度:36

看了一个泰国政府的网站被伊朗的黑客挂页，上面写着Your Box 0wn3z By Behrooz_Ice - Q7x -Sha2ow -Virangar -Ali_Eagle -iman_taktaz - Satanic2000We Love IranAshiyane Digital Security Te.....[详情]