注入点读绝对路径 - 网站安全 - 自学php关注热度:33

如果注入点有文件读取权限，就可以手工load_file或工具读取配置文件，再从中寻找路径信息（一般在文件末尾）。各平台下Web服务器和PHP的配置文件默认路径可以上网查，这里列举常见..[详情]

PHP一个不为人知的命令执行特性 - 网站安全 - 自关注热度:27

PHP把 ` ` 符号中间的字符当做系统命令执行，也就是说 echo `net user` 等价于system(lsquo;net userrsquo;)。去年在一个论坛看到过关于这个的文章，今天在红黑在看到猴子写的一个文章，也是利用..[详情]

[译].Net的XSS——绕过.net的请求验证机制 - 网站安关注热度:13

.Net Cross Site Scripting - Request Validation Bypassing.Net的XSS绕过.net的请求验证机制Seeker Research CenterBy Zamir Paltiel, August 2012Overview中心思想A vulnerability in the.....[详情]

库巴科技任意用户密码重置 - 网站安全 - 自学p关注热度:13

1）库巴科技的密码找回功能很强大，很大程度的方便了用户，但是方便的同时带来的风险也大大增加，库巴科技支持用户名、邮箱、手机三种用户信息找回密码；2）攻击者只要知道以上..[详情]

腾讯游戏人生注入漏洞（附分析及绕过方式）关注热度:37

http://igame.qq.com/giftcenter/actinfo.php?type=allrd=0.12860660045407712op=actidlistviewalist=987 and 1=1正常http://igame.qq.com/giftcenter/actinfo.php?type=allrd=0.12860660045407712op=act.....[详情]

51CTO博客多处存储XSS，各种bypass技巧 - 网站安全关注热度:23

1、只针对IE6有效的xss，把style里面的expression换成全角字符。div style=x:ｅｘｐｒｅｓｓｉｏｎ(alert(1))IE6/div2、IE6-IE8，IE9的兼容模式有效的xss，插入如下的代码，当鼠标点击test即触发xss。..[详情]

那些年我们一起学XSS - 9. Dom Xss入门 [隐式输出]关注热度:17

上一篇开始说Dom Xss了，我们说的是显式输出的情况，即我们可以在右键查看源代码的时候，看到我们所输出的内容。而有一些时候，输出操作我们是看不见的。它们通常发生在javascrip..[详情]

JavaWeb开发中对于XSS跨站脚本攻击的防护措施 - 网关注热度:15

XSS漏洞概述：XSS(Cross Site Script)跨站点脚本攻击是一种注射的问题，在这种恶意脚本注入否则良性和信任的网站类型。跨站点脚本（XSS）攻击，攻击者使用时，会出现一个网络应用程序发..[详情]

红黑互联（honhei.com）Xss跨站 - 网站安全 - 自学关注热度:20

Author：H3artData：Jan 31，2013地址：http://www.honhei.com/error.asp?id=..[详情]

揭秘PHP的一种新型留后门方式 - 网站安全 - 自学关注热度:38

转载不加作者名字的木JJ。作者：猴子 博客:www.sbmonkey.comphp内大致有这么几种运算符。按运算符号的功能分为：一：算术运算符（+ - * / % ++ --）二：字符串运算符 . 可以叫连接运算符号三..[详情]

Wordpress插件RLSWordPressSearch SQL注射 - 网站安全 - 自关注热度:17

标题 : Wordpress RLSWordPressSearch plugin SQL Injection 作者 : Ashiyane Digital Security Team 网址 : ww.ashiyane.org 风险类型 : MEdium - SQL Injection 关键词: inurl:wp-cont.....[详情]

渗透linux安全网全过程(含安全建议) - 网站安全关注热度:11

www.2cto.com：为防止破坏，该站网址已经使用www.2cto.com代替前天在网上找东西就无意进入了linux安全网,闲着无事就有想入侵它的冲动,其实大多数人感觉这些站都很难入侵,特别是站长是大牛..[详情]

国外0day:ProActive CMS多个漏洞 - 网站安全 - 自学p关注热度:36

Google Dork: intext:Powered by Proactive CMSXSS http:// www.2cto.com /index.php?action=searchq=1/title1script alert(document.cookie)/script目录遍历： http://www.2cto.com/lavate/.....[详情]

591结婚网可暴力修改用户密码 - 网站安全 - 自学关注热度:25

1）591结婚网用户注册认证缺陷（用户可使用任意手机号码注册，注册时无手机验证）；2）用户只能使用手机号码注册，重置密码当然也只能使用手机咯；3）输入手机号码并提交来到重..[详情]

51CTO设计不当存多处越权 - 网站安全 - 自学php关注热度:29

第一/二处:新建文章区/编辑登陆圈子后台后 (没有自己的圈子要先去注册一个)访问 http://g.51cto.com/groupadmin.php?action=diyclassjob=editgid=3643classid=3136通过修改classid的值可以查看 修改其他.....[详情]

web代码安全问题总结 - 网站安全 - 自学php关注热度:16

一， 数据库安全性1， MSSQL数据库安全性l web中不允许使用sa级的用户连接数据库解决方法：删除sa用户，新建一个权限为sa的用户，用户名和密码一样要复杂。以防暴力破解。新建一个..[详情]

XSS跨站脚本攻击浅析 - 网站安全 - 自学php关注热度:28

XSS跨站脚本攻击的基本原理和SQL 注入攻击类似（个人观点），都是利用系统执行了未经过滤的危险代码，不同点在于XSS是一种基于网页脚本的注入方式，也就是将脚本攻击载荷写入网页..[详情]

网页安全漏洞检测 - 隐藏字段 - 网站安全 - 自学关注热度:33

一些设计不当的网站系统可能包含很多可以被利用的安全漏洞，这些安全漏洞如同给远程攻击者开了一个后门，让攻击者可以方便地进行某些恶意的攻击。例如，公共漏洞和披露网站C..[详情]

xss遇到的utf-7编码转utf-8编码示例 - 网站安全 -关注热度:34

在一个xss题目中遇到的这个编码问题，utf-7和mutf-7这个编码是邮件使用的，javamail应该支持，使用utf-7这个还是比较少见的编码可以进行一些xss应用。使用原生jdk会报不支持utf-7编码的错误..[详情]

网站安全中所说的“旁注”是什么？ - 网站安全关注热度:25

互联网安全中什么是旁注？什么是旁注呢？互联网安全中什么是旁注？旁注是互联网黑客入侵常见的一种手段，多数用来攻击虚拟主机。其原理是利用同一主机上其他站点的安全漏洞获..[详情]

PFsense UTM Platform 2.0.1 XSS - 网站安全 - 自学php关注热度:25

标题: pfSense = 2.0.1 XSS CSRF during IPSec XAuth authentication 作者： Dimitris Strevinas 官网 www.pfsense.org 影响版本: = 2.0.1 类型: Semi-Persistent XSS CSRF 测试平.....[详情]

DataLife Engine 9.7 (preview.php) PHP代码注射 - 网站安全关注热度:24

标题：DataLife Engine 9.7 (preview.php) PHP Code Injection Vulnerability 软件连接：http://dleviet.com/ 影响版本：9.7 缺陷概述 位于 /engine/preview.php script: 246. $c_list = i.....[详情]

B3log Solo查看任意用户密码 - 网站安全 - 自学php关注热度:26

B3log Solo后台一处未经合理权限验证的交互接口可查看任意用户信息，包括明文密码。目前官方最新Release 0.5.5受此漏洞影响，所有平台用户均有泄漏密码的威胁。漏洞地址：http://xxx/con..[详情]

关于基础验证钓鱼中文乱码的解决方法 - 网站安关注热度:21

最近基础认证钓鱼很火，不过乱码始终是个问题。经测试后已实现的解决方法有两种：方法一：手动分析Request头如果客户端接受了WWW-AuThenticate验证，则会在下一次连接中添加请求头 A..[详情]

大街网某重要功能存储型XSS - 网站安全 - 自学p关注热度:20

1）注册用户一枚，注册好麻烦的说；2）来到发布功能，选择分享一张图片；3）选择一张图片提交并抓包分析；4）发现貌似uploadinfo这个参数可以利用下，经过一番测试发现在uploadinfo参..[详情]

高鸿商城手机支付缺陷 - 网站安全 - 自学php关注热度:20

应作者要求已经删除..[详情]

捕获LFI攻击 - 网站安全 - 自学php关注热度:24

刚刚从网站访问日志中捕获LFI(Local File Include，本地文件包含)攻击，攻击参数为../../../../../../../../../../../../..//proc/self/environ00，攻击截图如下：捕获LFI攻击-Local File Include本地文件包.....[详情]

ImageCMS 4.0.0b多重缺陷及修复 - 网站安全 - 自学p关注热度:22

影响产品: ImageCMS开发者: www.imagecms.net影响版本：4.0.0b 及以前Tested Version: 4.0.0b缺陷类型: SQL Injection [CWE-89]状态: 官方已修复Discovered and Provided: High-Tech Bridge Secur.....[详情]

浅谈XSS & CSRF - 网站安全 - 自学php关注热度:33

客户端(浏览器)安全同源策略（Same Origin Policy）同源策略阻止从一个源加载的文档或脚本获取或设置另一个源加载的文档的属性。如：不能通过Ajax获取另一个源的数据；JavaScript不能访问..[详情]

SQLiteManager 1.2.4远程php代码注射 - 网站安全 - 自学关注热度:14

概述:===============================================================标题: SQLiteManager 0Day Remote PHP Code Injection Vulnerability作者: RealGame开发者: http://www.Relagame.co.il下载地址.....[详情]