某公司网站鸡肋上传漏洞（IIS6.0解析漏洞） - 网关注热度:18

from www.0855.tvby Mr.DzY一个很漂亮的asp版企业系统，作者未知，名称未知，版权未知废话也懒得说，上exp。测试示例:title上传EXP by Mr.DzY/titlecenterform action= method=post enctype.....[详情]

SantriaCMS SQL注射缺陷及修复 - 网站安全 - 自学ph关注热度:17

# I Think, I can, But i#39;m just loser我想我行，但是我仅仅是个失败者作者: Troy程序介绍开发者: http://www.jasawebsitemurah.info/cms/标题: SantriaCMS SQL Injection Vulnerability测试平.....[详情]

ECSHOP 2.7.2 Release0604 跨站脚本漏洞可拿管理权限及关注热度:20

简要描述：标签云功能过滤不严。导致会员可在任意商品详细页，输入跨站JS脚本引用。致后台管理员帐号泄漏。详细说明：漏洞证明：外部test.js文件内容。实现后台修改管理员帐号的..[详情]

Excms卓越内容管理系统爆任意文件漏洞及修复方案关注热度:18

详细说明：$_GET[file]过滤不严格,爆任意文件漏洞证明：http://www.excms.cn/apps/include.php?file=index.php修复方案：对$_GET[file]进行严格过滤作者 路人甲@乌云@乌云..[详情]

中华网某分站使用的第三方程序泄露敏感信息及关注热度:13

详细说明：中国网河南分站使用第三方程序存在漏洞 可读取任意文件漏洞证明：http://henan.china.cn/apps/include.php?file=sitedata/config.inc.php修复方案：$_GET[file]过滤作者Finger..[详情]

XSS漏洞防范(给开发者和用户的各三个建议) - 网站关注热度:14

XSS攻击以及的可怕性及灵活性深受黑客的喜爱。争对XSS攻击，编者给普通浏览网页用户及WEB应用开发者给出以下的安全建议： web用户 1.在电子邮件或者即时通讯软件中点击链接时需要格..[详情]

phpBB MyPage插件sql注射及修复 - 网站安全 - 自学p关注热度:13

====================================================MyPage plugin (phpBB) SQL Injection (All versions)====================================================标题: SQL Injection on the plug.....[详情]

AlstraSoft EPay Enterprise v4.0盲注及修复 - 网站安全关注热度:69

标题: *AlstraSoft EPay Enterprise v4.0 Blind SQL Injection*作者: *Don (BalcanCrew BalcanHack)*下载地址: *http://www.alstrasoft.com/epay_enterprise.htm*版本: *4.0*测试平台: *Apache/.....[详情]

Five Star Review(recommend.php)远程sql注射及修复 - 网站关注热度:24

标题: Five Star Review Remote SQL Injection (recommend.php)开发者: http://www.review-script.com影响版本: Versions below v5.1作者: EthicalPractice www.2cto.com测试平台: Firefox 8.0, .....[详情]

CNBETA第一次渗透纪实 - 网站安全 - 自学php关注热度:51

cnBeta是互联网IT新闻业界的后起之秀,是目前国内同行领先的即时新闻站点和网友交流平台。消息速度快，报导立场公正中立，网友讨论气氛浓厚，在IT业界拥有相当的影响力。随后站点管..[详情]

维普网持久性跨站可能导致管理员会话被劫(含修关注热度:38

简要描述：维普网站内信持久跨站无限制，可能导致RMB用户甚至管理员会话被劫。详细说明：最近由于要使用该网，于是就简单看了下：1、注册页面http://www.cqvip.com/User/MailIndex.aspx只做客..[详情]

基于js的CC攻击实现与防御 - 网站安全 - 自学php关注热度:21

申明：此文不是为了教大家攻击别人网站，主要是为了学会更好的防御。Author：Tueur正文：前段时间开发了一个微博应用站，人气还不错，可不久就被人山寨了，连名字都一模一样，气不..[详情]

phpMyFAQ 普通用户如何拿shell(鸡肋) - 网站安全 - 自关注热度:9

phpMyFAQ是一个支持多语言的FAQ系统。主要是洋人用的。。国内也有。。不多。。思来想去还是改改标题把。。好了 直接说如何拿shell把。。环境必须支持apache！先注册个帐号。（个人观测..[详情]

网奇EShop网上商城系统注射漏洞及修复 - 网站安全关注热度:24

注册个用户，进入会员中心，点击会员信息页面进行信息修改在表单的任何一项中都可以进入暴数据操作暴管理员ID：l#39;, Name = Cstr(DLookUp(#39;memberid#39;, #39;admin#39;)) + #39;暴管理员密码：..[详情]

WEBSHELL限制执行命令的解决办法 - 网站安全 - 自学关注热度:176

有很多朋友问他得到了一个WEBSHELL,但是想用命令提示查看用户信息什么的,但是很多主机限制了执行命令,所以很多WEBSHELL就不能失去了很大的功能......前二天桂林老兵ASP站长助手6.0刚出来..[详情]

用backtrack破解web密码3分钟教程 - 网站安全 - 自学关注热度:22

首先, 需要准备:1.Backtrack 3/4 光盘版或者虚拟机镜像, 也可以是Backtrack3 U盘版2.一个兼容Backtrack的无线网卡3.使用web加密的无线网络加入点(指的就是你要破解的无线网络)需要的全部指令:..[详情]

PEC php calendars script SQL注射及修复 - 网站安全 - 自关注热度:12

====================================================php calendars script SQL Injection====================================================# ( calendars script ) SQL Injection作者: Mr.ML.....[详情]

网易邮箱跨站及修复方案 - 网站安全 - 自学php关注热度:32

网易系列邮箱实验室功能模块非持久型跨站~只测试了163、yeah邮箱均存在，估计其他系列的邮箱也存在。因为要用户登录情况下才触发。所以此处我把邮箱名用user代替！另外sid令牌即使..[详情]

网站开发中的安全检查(Penetration Test) - 网站安全关注热度:15

一般稍微大一点规模的网站上线前都要做一下安全性测试。(Penetration Test)安全测试一般包括以下几个步骤：1.选择一系列安全问题点,分析测试的可行性.(选择几个需要进行测试的问题,例..[详情]

Meditate Web Content Editor 'username_input' Sql注射关注热度:16

Meditate Web Content Editor #39;username_input#39; SQL-Injection vulnerability作者：Stefan Schurtz www.2cto.com受影响程序: Successfully tested on Meditate 1.2官方地址:http://www.arl.....[详情]

51job.com个人简历多地方存储型XSS及修复 - 网站安关注热度:30

简要描述：51job.com个人简历多地方存储型XSS，导致可以获得企业用户访问的一些信息，因为申请企业用户需要验证，就没有测试。但是获取了别的企业用户的一点信息。详细说明：插入..[详情]

飞信位缘LBS验证码短信炸弹 - 网站安全 - 自学p关注热度:67

http://lbs.feixin.10086.cn:8080/获取短信验证码无限制，可以成为短信炸弹。发了很多条都可以收到。www.2cto.com漏洞证明：http://lbs.feixin.10086.cn:8080/sendmsgvcode.jsp?flag=regphone=13800138000sour.....[详情]

如何避免VPN安全漏洞（二） - 网站安全 - 自学p关注热度:26

在《如何避免VPN安全漏洞（一）》中介绍了四种VPN攻击方式和黑客，本文将继续为你介绍MPLS VPN的安全性；企业应当如何建设合适的VPN来保障信息安全以及企业应当如何平衡VPN的易用性和..[详情]

如何避免VPN安全漏洞（一） - 网站安全 - 自学p关注热度:42

对广域网的远程用户而言，虚拟专网（VPN）应该是安全的连接，但是因为许多明显的漏洞，致使许多企业质疑VPN的安全性。Rainer Enders是NCP engineering在美洲地区负责VPN安全的CTO，在本篇对..[详情]

Family Connections CMS v2.5.0-v2.7.1 (less.php)远程命令执行关注热度:10

?php/*Family connections CMS v2.5.0-v2.7.1 remote command execution exploit开发者: https://www.familycms.com/下载地址: https://www.familycms.com/download.php作者：mr_me::rwx kru邮箱: s.....[详情]

新浪某分站命令執行漏洞取得webshell及修复 - 网站关注热度:13

简要描述：透过命令执行漏洞取得webshell详细说明：http://diy.sina.com.cn/cgi-bin/picDiy/upload.cgi?imgurl=;ls%20-la%20/修复方案：修改Cgi 做好Sanitization作者insight-labs@乌云..[详情]

网易某管理系统商业逻辑漏洞绕过后台验证及修关注热度:15

1.网易某管理系统商业逻辑漏洞绕过后台验证http://rainbowlife.163.com/admin/http://xiqing.163.com/admin/2.xsshttp://rainbowlife.163.com/admin/login.php?errmsg=%22%3E%3Cscript%3Ealert%28/insight/%29%3.....[详情]

Aspcms 1.5 COOKIES注入0day及修复 - 网站安全 - 自学关注热度:10

Aspcms 1.5 COOKIES注入0day，注册一个帐号。然后登陆后修改COOKIES的USERID值在后面加上注入语句:UNION SELECT 1,2,3,4,5,6,username,adminpassword,9,10,11,12,13,14,15,16,17,18,19,20,21,22 from Aspc.....[详情]

新浪某分站注入漏洞订单信息泄漏 - 网站安全关注热度:15

简要描述：可编辑网站商品全内容订单数据泄漏详细说明：http://merchantadmin.sina.com/sinamall/manager/login.asp?redir=merchant%2Eadmin%2Easpshortname=hsugn#39;or#39;1#39;=#39;1作者 insight-labs.....[详情]

世纪风企业网站管理系统插马漏洞及修复 - 网站关注热度:13

From www.0855.tv by Mr.DzY世纪风企业网站管理系统面向中小企业的网站管理系统,网页精美,大气。具有稳性定强,功能多,安全,代码加载速度快,网站内容管理的易操作性等优点。采用div+css构架..[详情]