Jieqi CMS V1.6 PHP代码注入缺陷 - 网站安全 - 自学p关注热度:25

杰奇网站管理系统（简称 JIEQI CMS，中国国家版权局著作权登记号：2006SR03382）是一套模块化的网站架设系统，具备简单灵活、性能卓越、安全可靠等特性。我们为大家提供了目前最流行..[详情]

Cookie安全漫谈 - 网站安全 - 自学php关注热度:21

在Web应用中，Cookie很容易成为安全问题的一部分。从以往的经验来看，对Cookie在开发过程中的使用，很多开发团队并没有形成共识或者一定的规范，这也使得很多应用中的Cookie成为潜在..[详情]

Cookie安全 - 安全编程_安全相关编程技术文章 - 自关注热度:39

Cookie安全Cookie是一个神奇的机制，同域内浏览器中发出的任何一个请求都会带上Cookie，无论请求什么资源，请求时，Cookie出现在请求头的Cookie字段中。服务端响应头的Set-Cookie字段可以添..[详情]

Piwigo 2.4.6 (install.php)远程任意文件读取和删除 -关注热度:82

Piwigo 2.4.6 (install.php) Remote Arbitrary File Read/Delete Vulnerability作者: Piwigo project程序主页: http://www.piwigo.org影响版本: 2.4.6测试平台：Microsoft Windows 7 Ultimate SP.....[详情]

Easy DOM-based XSS detection via Regexes - 网站安全 - 自关注热度:21

If you are interested in finding DOM-based XSS, you must have knowledge of http://code.google.com/p/domxsswiki/wiki/Introduction already. This is the best online resource abou.....[详情]

关于PHP FastCGI安全配置绕过问题的说明 - 网站安全关注热度:20

这篇文章主要是针对《关于PHP安全配置绕过问题的一些说明》的说明。具体参见：http://www.2cto.com/Article/201302/188379.html当中关于php-fpm读取文件的内容，经测试需要将配置文件中security.li..[详情]

基于DOM的第三类跨站脚本XSS - 网站安全 - 自学p关注热度:26

英文原文：DOM Based Cross Site Scripting or XSS of the Third Kind翻译原文：http://www.oschina.net/translate/dom-based-xss-of-third-kind我要收藏小胖胖_要减肥 推荐于 2天前 (共 18 段, .....[详情]

渗透小技巧一则 - 网站安全 - 自学php关注热度:21

目标是WIN7 X64，且开启了防火墙，想要用他的机器去访问别的机器，又不想登陆他的系统，常规办法一般是上传一个htran,然后进行转发，但是对方有杀软，有被杀的可能性，所以我用另外..[详情]

WSS项目管理系统Post get shell - 网站安全 - 自学ph关注热度:30

POST 数据漏洞文件执行任意后缀文件保存漏洞文件/chart/php-ofc-library/ofc_upload_image.php利用：/chart/php-ofc-library/ofc_upload_image.php?name=hfy.php hfy.php 文件名Post任意数据保存位置http://l.....[详情]

名副其实的“跨”站脚本攻击，腾讯snapshot存在安关注热度:19

XSS了一下大街网，具体可以看http://www.2cto.com/Article/201302/189991.html，莫名其妙的XSS到了百度。看了下，原来是百度的某个功能不安全额。然后就联想到了腾讯，果然不出所料腾讯也中招了..[详情]

名副其实的“跨”站脚本攻击，百度cache存在安全关注热度:21

XSS了一下大街网，具体可以看http://www.2cto.com/Article/201302/189991.html，莫名其妙的XSS到了百度。看了下，原来是百度的某个功能不安全额。。。1 之前XSS了一下大街网，在抓的的cookie中竟然..[详情]

大街网 非你莫属官网某板块储存型XSS 可获取用户关注热度:26

原来非你莫属的官网是大街网给提供的额，在大街网官方的某板块中也找到了几个，不过有限制，要是能突破了再提交。看了下大街网的漏洞，全是XSS，霸气啊！这里我再加一个。。。..[详情]

ecshop最新注入0day漏洞分析报告-2013-02-20 - 网站安关注热度:116

漏洞作者：360漏洞分析：Seay博客：www.cnseay.com今天习惯性的到处逛，看看文章。看到了360爆的一个ecshop 支付宝支付插件的注入漏洞，照例的分析下，360的团队还是挺赞的。由于漏洞源于..[详情]

ESONCN CMS 0day及修复 - 网站安全 - 自学php关注热度:28

今天帮朋友测试站的时候无意间发现的！修改模板页处可以直接改前台任意文件无需登录后台即可对模板进行编辑直接写入一句话。菜刀连接修复方案：后台认证加强..[详情]

蘑菇街xss两枚，绕过滤拿妹纸cookie - 网站安全关注热度:39

先来重点的：首先是一个dom型xss，url参数输出在js里面。原始url在http://www.mogujie.com/upload/addpic?callback=parent;prompt(/test/);//code=3002刚开始弹窗很容易，可是剑心告诉我们缺乏可以影响他人帐..[详情]

ECShop支付插件0day漏洞及修复方案 - 网站安全 - 自关注热度:236

近日，360网站安全检测平台独家发现网店系统ECShop支付宝插件存在高危0day漏洞。黑客可利用SQL注入绕过系统限制获取网站数据，进而实施拖库窃取网站资料。由于ECShop与电子商务关系密..[详情]

USB Sharp v1.3.4 iPad iPhone 多个缺陷及修复 - 网站安全关注热度:48

标题：USB Sharp v1.3.4 iPad iPhone - Multiple Web Vulnerabilities影响版本：6.3程序介绍USB Sharp Pro can turn your iPhone, ipad, ipod into a large Capacity, Portable and Wire.....[详情]

Shell下突破安全狗远程桌面守护 - 网站安全 - 自学关注热度:65

首先在Shell下把安全狗的安装配置给下来 默认安装路径：C:\Program Files\SafedogServer\SafeDogGuardCenter 找到 ProGuardData.ini 下载文件到本地虚拟机虚拟机安装安全狗 然后文件覆盖一下 打开安全狗..[详情]

黑客是怎样入侵你的网站的 - 网站安全 - 自学关注热度:25

这个问题很难回答，简单的来说，入侵一个网站可以有很多种方法。本文的目的是展示黑客们常用的扫描和入侵网站的技术。假设你的站点是：hack-test.com让我们来ping一下这个服务器：我..[详情]

用xss黑掉coremail的sid - 网站安全 - 自学php关注热度:105

写代码我真的是小菜鸟 估计很多地方语法错误,大家将就着看吧..浏览器的bypass我就不说了 我的方法在IE8下无法实现的.1、首先在http://mail.bnu.edu.cn/coremail/forgetpwd1.jsp?uid=%22%3E%3Cscript%20src..[详情]

浅谈XSS漏洞在web中所造成的危害 - 网站安全 - 自关注热度:20

www.2cto.com:老文章了最近不知道为什么，可能是巧合吧，我接触到了不少关于XSS的东西，这其中也是阅读了一些的关于XSS的文章，由此一来，对XSS也有了一定的认识和思路，当然，这都是..[详情]

中国万网任意账号劫持+验证码漏洞 - 网站安全关注热度:41

1.验证码无效漏洞导致爆破任意账号名或手机号2.弱验证码导致爆破手机号的密码找回验证3.缺失的身份认证导致绑定别人的账号到自己的手机乌云和80sec在新年被劫持，我想大家也都知道..[详情]

Cross-Site Scripting(XSS): 跨站脚本攻击介绍 - 网站安关注热度:34

目录一XSS攻击简介二XSS攻击的分类反射型XSS存储型XSS三XSS攻击的手段及其危害窃取Cookie引导钓鱼跨站请求伪造注入恶意软件四XSS的预防输入检测输出编码Cookie防盗严格限制URL访问用户注..[详情]

新浪微游社区多处xss及修复 - 网站安全 - 自学p关注热度:16

1、登陆新浪微博，微游社区，发帖，url地址：http://game.weibo.com/club/bbs-post-run?fid=208oid=1005100210001，如图：2、发帖后的url地址：http://game.weibo.com/club/read-353489-1，如图：3、然后在对此.....[详情]

Using Content Security Policy to Prevent Cross-Site Scriptin关注热度:13

On SendSafely.com we make heavy use of many new JavaScript APIs introduced with HTML5. We encrypt files, calculate checksums and upload data using pure JavaScript. Moving .....[详情]

Server-Side XSS Attack Detection with ModSecurity and Phanto关注热度:61

Client-Side JS Overriding LimitationsWhat is PhantomJSUsing PhantomJS for Server-Side XSS DetectionServer-Side JS OverridingExample TestingAccess Attempts for documentcookie DOM .....[详情]

网站被入侵后的修复和防范 - 网站安全 - 自学p关注热度:15

题记：很久以前，我用CMS搭建了一个站点，采集了一些内容，之后就没有打理了，成为了一个没人维护的垃圾站。昨天偶尔发现网站不知何时被挂了黑链，网站之前就被黑过一次，造成..[详情]

跨站脚本攻击之反射型XSS漏洞 - 网站安全 - 自学关注热度:17

如果一个WEB应用程序使用动态页面传递参数向用户显示错误信息，就有可能会造成一种常见的XSS漏洞。一般情况下，这种页面使用一个包含消息文本的参数，并在页面加载时将文本返回..[详情]

记一次Linux系统PHP注入入侵检测 - 网站安全 - 自学关注热度:22

题记：一位朋友在某教育公司，一套网络教育平台。一年前，在2008年8月份的时候，我看到了这套平台，当时发现了个注入漏洞，测试了一下，得到一个可用帐户后就没有再继续下去。今..[详情]

dzX 2.0/2.5通杀0day 存储型XSS一枚 - 网站安全 - 自学关注热度:15

漏洞发生在插附件的地方。说到插附件各位看官也应该都想到了肯定是文件名。因为文件名是按照本地上传的文件名来显示的。如果你的操作系统是linux你可以直接修改一个图片文件的文..[详情]