逛(guang.com) 修改任意人收货地址及修复 - 网站安关注热度:14

http://guang.com/account/address通过hidden的id传递值，修改id值即可修改对应的信息这个1363xxx的用户的地址ID是1003这个10557xxx的用户的地址为1004，我们修改为1003，提交退出10557xxx此用户，重新登..[详情]

破那个护卫神技术总汇 - 网站安全 - 自学php关注热度:24

一、马儿篇，都是以前可以过护卫神的马二、注入篇，可以绕过注入的方法三、规则篇，根据护卫神的过滤规则大家可以自己设计马儿一、马儿篇-1号ndash;?php@eval($_POST[#39;1#39;]).....[详情]

SHOPEX 4.8.5后台任意上传获取webshell及修复 - 网站安关注热度:26

SHOPEX 4.8.5后台任意上传获取webshell，本地构造GIF89欺骗头文件一句话木马，上传并替换plugins下的PHP文件(原文件自动备份)，导致获取WEBSHELL修复方案：官方已经修复..[详情]

ZDSoft网站生成系统漏洞及修复 - 网站安全 - 自学关注热度:24

ZDSoft网站生成系统严重漏洞，可导致网站服务器直接被拿到最高权限、1.后台权限绕过漏洞http://www.zdsoft.net/admin/left.aspx 后台菜单如果没有登录，就会js跳转到登录页，禁用js就可继续访问..[详情]

玲珑网存储型XSS - 网站安全 - 自学php关注热度:24

作者：黑鸟 今天闲着无聊去网上逛了逛，忽然想起以前女朋友说过玲珑网开了很大，忽然想检测一下安全性怎样。百度找了一下：柳州最大最火的综合性门户网。。靠，你这样写让我们..[详情]

土豆网某反射型XSS详细分析 - 网站安全 - 自学p关注热度:20

外面下大雪，奶奶的，哪里想起来上课咯。。。冷的老子要死，我操上午三四节课打酱油路过之后吃完东西回到寝室。。网络小新发了我个土豆的后台，说我xss。我觉得这后台真JB有意思..[详情]

waf绕过：webknight waf bypass - 网站安全 - 自学php关注热度:51

某年某月某日，遇到一服务器，一网站，一注入点，一webknight，然后有了下面的内容。尝试注入，测试发现过滤了 select 和 from 关键字，直接关键字过滤，此方法误报率高啊。。。首先测..[详情]

人人网日志存储型XSS 绕过过滤器 - 网站安全 - 自关注热度:37

发个人人网的日志存储型XSS，可以加载外部JS，获取Cookies，自动发日志传播XSS代码。小范围测试了蠕虫。危害比较严重。日志发布时候通过Chrome的审查元素直接编辑HTML代码，或者通过..[详情]

匿名者黑客组织称2013将坚持不懈地发动攻击 - 网关注热度:17

据报道，著名黑客组织Anonymous发布了一份新年声明，扬言将在2013年坚持不懈地发动各种攻击。 声明中，匿名者炫耀了自己在2012年对美国、叙利亚和以色列的部分政府机构网站成功地发..[详情]

伊朗军演试水网络战 模拟反击黑客和病毒攻击关注热度:16

据法新社12月31日消息，本月28日开始的伊朗海军军演进入第四天。本次军演中，伊朗海军首次开展了网络战演习，模拟反击黑客及病毒袭击。 据报道，伊朗海军对防御部队的计算机网络..[详情]

16岁少年成“黑客” 网络诈骗数万元被抓获 - 网关注热度:21

近日，舒城县局网监大队，与刑侦联手奔赴江苏宿迁，在市局网安支队的大力支持下，抓获一名利用互联网从事网络诈骗的黑客，首次破获网络诈骗案件。2012年8月23日，舒城一家网吧业..[详情]

破那个垃圾安全狗技术总汇 - 网站安全 - 自学p关注热度:21

安全狗很牛吗？过安全狗主要过哪几方面：1.过注入2.过大马被阻拦访问3.过菜刀连接一句话被拦截4.过1.asp;.jpg这样的文件其他我没遇到了。。现在一点一点讲：1.过注入方法一：a.asp?aa..[详情]

WordPress多个WPScientist主题任意文件上传漏洞及修复关注热度:75

受影响系统：WordPress Eptonic Theme 1.xWordPress Lightspeed Theme 1.xWordPress Nuance Theme 1.xWPScientist是WordPress上使用的一系列主题。WordPress使用的多个WPScientist主题存在安全漏洞，va.....[详情]

寻医问药提问存储型xss一枚，bypass现有安全机制关注热度:17

过滤了 script 标签，禁止出现网址， 但是 轻松绕过 见图。修复方案：你懂的~..[详情]

十九楼某关键内部系统跨站伪造登陆框 - 网站安关注热度:22

1.跨站2.伪造登陆框邮箱系统：https://mail.19lou.com/extmail/cgi/index.cgiextmail几处反射性跨站，https://mail.19lou.com/extmail/cgi/index.cgi?__mode=%3Cscript%3Ealert%28document.cookie%29%3C/script%.....[详情]

腾讯QQ空间日志、校友日志存储型XSS - 网站安全关注热度:34

感觉腾讯在插入视频或者FLASH的时候，或许是个安全短板，就测试了下，果不其然......先看看侧漏的：之后就是构造了...cookie:校友的，一样：GET/POST cookie:把日志伪装一下，目测大部分人..[详情]

ORACLE注入代码之我所见 - 网站安全 - 自学php关注热度:39

ORACLE注入代码最近朋友发现他们的服务器被黑客给搞定了，也引起我对这块的注意，特分析记录学习一下。经过分析，之所以有这个漏洞存在的原因是因为ORACLE的DDL所导致，但是如何规..[详情]

对邪红色内部ASP小木马后门的分析 - 网站安全关注热度:28

在邪红色论坛看到的，标题是《邪红色内部ASP小木马【跨年发布】》进去看了下介绍，就下载过来研究下，如图是论坛的介绍：后门地址：看代码的380行：If MD5(Request(pwd))=Userpwd or Reque..[详情]

使用PreparedStatement防止SQL注入 - 网站安全 - 自学关注热度:37

一条效率差的sql语句,足以毁掉整个应用.Statement是PreparedStatement的父接口,不进行预编译操作,减少了进行预编译的开销.单次运行PreparedStatement要比Statement要慢一些.PreparedStatement可以实现S..[详情]

T-SQL篇如何防止SQL注入的解决方法 - 网站安全 -关注热度:15

所谓SQL注入式攻击，就是攻击者把SQL命令插入到Web表单的输入域或页面请求的查询字符串，欺骗服务器执行恶意的SQL命令，对于这种行为，我们应该如何制止呢？本文将介绍一种方法，..[详情]

误打误撞渗透进一台古老的台湾服务器 - 网站安关注热度:15

0x01 起因这些天渗透一个台湾的网站，但是由于目标找错了 于是就有了下面的故事。0x02收集信息先大概看了一下域名和环境 主要有三个 ： www.xxx.org.tw 主站 在一台windows2003服务器上 ii..[详情]

phpweb伪静态页面注入及修复 - 网站安全 - 自学p关注热度:23

phpweb所有的整站程序伪静态页面都存在sql注入主站：http://phpweb.net/加rsquo;检测：http://www.phpweb.net/down/html/?772prime;.html出错存在注入。不能用空格，只能用/*罗http://www.phpweb.net/page/htm.....[详情]

WordPress WP-Property PHP 文件上传漏洞及修复 - 网站安关注热度:17

WordPress WP-Property PHP 文件上传漏洞## # This file is part of the Metasploit Framework and may be subject to# redistribution and commercial restrictions. Please see the .....[详情]

WordPress TwentyTen Theme 'loo.php'任意文件上传关注热度:21

受影响系统：WordPress TwentyTen Theme 1.5.xWordPress TwentyTen Theme 1.4.xWordPress TwentyTen Theme 1.3.xWordPress TwentyTen Theme 1.2.xWordPress TwentyTen Theme 1.1.x描述：WordPres.....[详情]

WordPress SB Uploader插件任意文件上传漏洞及临时解关注热度:31

受影响系统：WordPress SB Uploader 3.9描述：SB Uploader是上传图片并附加到内容里的简单插件。WordPress SB Uploader内存在安全漏洞，wp-content/plugins/sb-uploader/sb_uploader.php没有验证上传的文件.....[详情]

WordPress ReFlex Gallery插件'php.php'任意文件上关注热度:55

受影响系统：WordPress ReFlex Gallery 1.4描述：Sammy FORGIT是合二为一的图库相册插件。WordPress Sammy Forgit内存在安全漏洞，wp-content/plugins/reflex-gallery/admin/scripts/FileUploader/php.php.....[详情]

WordPress Xerte Online插件'save.php'任意文件上关注热度:28

受影响系统：WordPress Xerte Online 0.32描述：Xerte Online for WordPress是基于服务器的内容作者的工具集。Xerte Online for WordPress内存在安全漏洞，wp-content/plugins/xerte-online/xertefiles.....[详情]

windows写权限变成可执行权限的利用 - 网站安全关注热度:22

Windows 管理规范 (WMI) 提供了以下三种方法编译到 WMI 存储库的托管对象格式 (MOF) 文件：方法 1： 运行 MOF 文件指定为命令行参数将 Mofcomp.exe 文件。Method2： 使用 IMofCompiler 接口和 .....[详情]

kuwebs代码审计报告各种鸡肋漏洞打包与修复 - 网关注热度:18

先来个介绍：酷纬企业网站管理系统是酷纬信息(www.kuwebs.com)开发的为企业网站提供一揽子解决方案的营销型网站系统，后台采用PHP+Mysql架构，内置企业简介模块、新闻模块、产品模块、..[详情]

MyBB HM My Country Flags SQL注射及修复 - 网站安全 - 自关注热度:86

HM My Country Flags SQL Injection作者: JoinSe7en join7 [+at+] riseup.net测试系统: Linux程序地址: http://mods.mybb.com/view/hm-my-country-flagsHM My Country Flags has a SQL Inject.....[详情]