从c#角度看万能密码SQL注入漏洞 - 网站安全 - 自学关注热度:37

以前学习渗透时，虽然也玩过万能密码SQL注入漏洞登陆网站后台，但仅仅会用，并不理解其原理。今天学习c 数据库这一块，正好学到了这方面的知识，才明白原来是怎么回事。众所周知..[详情]

ESPCMS最新 V5.8.14.03.03 UTF8 正式版暴力注入 - 网站安关注热度:13

弱加密算法的悲剧 伪造任意用户登录 注入 一系列问题 public class_dbmysql php行144function eccode($string, $operation = 39;DECODE 39;, $key = 39;@LFK24s224%@safS3s%1f% 39;, $mcrype..[详情]

微擎-微信公众平台自助引擎系统整站重装+SQL注入关注热度:52

微擎-微信公众平台自助引擎系统整站重装+SQL注入getshellhttp: www we7 cc 源码下载，量还是挺大的。验证为v0 52，漏洞应该是版本通杀。http: bbs we7 cc forum php?mod=viewthreadtid=1155在 install php文件..[详情]

西北知名IDC服务公司 天互数据某处存在SQL注入关注热度:15

天互数据某处存在SQL注入漏洞可获取数据库信息，以及管理员账号与密码。漏洞地址：http: autosite idcs cn webmall detail php?id=580..[详情]

搜狐焦点家居多处Cookie注入打包 - 网站安全 - 自关注热度:19

下述url均存在cookie注入，厂商请注意修复。1 http: home focus cn newscenter newscenter php？subject_id=33show_citynum=5497558138882 http: home focus cn jiancaicheng index php?city_id=393 ht..[详情]

Web安全初学者的几个学习建议 - 网站安全 - 自学关注热度:25

零基础如何学习Web安全？这是个好问题，我强迫症犯了，本来写的是web，我改为了Web。因为正好Web安全是我擅长的，你说的是0基础，我总结下我的一些看法吧，针对0基础的。一 首先你..[详情]

中国铁通宽带广告投放系统存在严重安全问题关注热度:18

最近被铁通恶意插入的广告搞的蛋疼 投诉无门 自己搞定前阶段电脑莫名其妙的随机跳转hao123 一号店等地址 搞的我以为电脑中毒了最近倒是不跳了 不管登陆什么网站 右下角总弹出一些..[详情]

Discuz 5.x/6.x/7.x投票SQL注入分析 - 网站安全 - 自学关注热度:25

看有人爆了这个漏洞，感觉应该是editpost inc php里投票的漏洞。因为dz已经确定不会再修补7 x以前的漏洞了，所以直接贴细节吧 。问题出在 editpost inc php的281行，对用户提交的polloption数组..[详情]

大汉版通系统敏感信息泄露+SQL注入漏洞 - 网站安关注热度:30

大汉版通某系统存在比较严重的信息泄露另加两处SQL注入该系统为：大汉信息公开系统(xxgk) 1 信息泄露漏洞文件路径 xxgk setup tools getuserinfo jsp 2 SQL注入漏洞文件如下 xxgk short_message que_r..[详情]

phpmywind 5.0 后台GetShell漏洞利用 - 网站安全 - 自学关注热度:22

admin web_congif php 的过滤代码如下。 强制去掉 强制去掉最后一位 $vartmp = str_replace( , ,$row[ varvalue ]);if(substr($vartmp, -1) == ){$vartmp = substr($vartmp,1,-..[详情]

Anymacro邮件系统任意文件下载漏洞 - 网站安全 -关注热度:39

在mailattrFw php中?phprequire_once config config php;require_once include template php;require_once include func php;require_once 39;include right php 39;;require_once 39;include..[详情]

U-Mail邮件服务系统任意文件上传+执行漏洞（run关注热度:31

产品介绍(摘自官网)U-Mail专注于电子邮件领域15年，为企业轻松搭建最安全稳定的电子邮件系统软件。关键字：15年 最安全 最稳定{15年 最安全 最稳定} , (w)(o)(x)(*)(a)(o)(l)(e),这么奇葩的代..[详情]

某OA系统越权、多处SQL注入及任意用户登陆包括管关注热度:56

某OA系统越权、多处SQL注入及任意用户登陆包括管理员大量案例中招，官网demo中招，多处漏洞广州市颖峰信息科技有限公司http: www yfidea com product asp官方demo地址：http: demo yfidea com 官方成..[详情]

PageAdmin CMS 2.x后台登陆绕过 - 网站安全 - 自学ph关注热度:28

后台使用Master_Valicate Master_Check函数来验证用户是否登陆，下面是此函数代码if (HttpContext Current Request Cookies[Master] != null) { if (HttpContext Current Request Cookies[Master..[详情]

搜狐视频一键劫持妹子通行证 - 网站安全 - 自学关注热度:20

搜狐视频可以设置搜狐通行证手机号绑定。http: my tv sohu com user setting mobile do输入手机号后，向该手机号发送验证码。填入动态验证码后，会ajax绑定手机号和验证码是否正确对应GET user..[详情]

日本北海道大学能源管理系统加三菱Q系列PLC以太关注热度:20

针对三菱Q系列PLC的安全分析可以参照前文，而这个就是一个控制设备跑在公网的切实的案例，同样也是本次能根据title确认的一个案例。理论上PLC如果没设置密码是可通过编程软件是实..[详情]

黑客入侵后，重新夺回我的网站 - 网站安全 - 自关注热度:18

自2012年3月开始我就一直运营的一个网站：RamshackleGlam com 在上周被别人给盗了。它被一个叫bahbouh的家伙放到了一个名叫Flippa com的拍卖网站上，差点就被卖给了出价最高的竞争者（大概..[详情]

火狐Quick Translator插件XSS及利用技巧 - 网站安全关注热度:23

Quick Translator未经过滤直接输出，导致XSSQuick Translator对谷歌翻译返回未经过滤直接输出，导致XSS不知道什么原因，直接翻译script标签是不行的，所以需要借助img等其他标签。Quick Translat..[详情]

比特儿(Bter.com) 比特币交易平台被盗事件全解析关注热度:18

就在刚才（2014年8月15日晚），国内著名的山寨币交易所比特儿遭到攻击，被盗5000万个NXT（未来币）。本事件一波三折，目前还在发酵中，但一场完全透明却匿名的网络犯罪却呈现在我们..[详情]

我是如何绕过Google和Facebook等大站的两步验证的关注热度:31

我记得在两年前，两步验证(2-Factor-Authentication, 2FA)变得非常普及并且在各大主流网站(Google, Facebook, Yahoo 等)广泛应用。那时我十六岁，天真的我想不通为什么这么天才的想法之前没有人想..[详情]

第三方接口 黑客怎么爱你都不嫌多 - 网站安全关注热度:11

0x01 写在前面本文总结了红黑联盟主站最近提交的 由于第三方接口程序导致的高危漏洞本文实例都是使用率高，且在近期爆出漏洞的API，具有一定现实意义在程序中嵌入第三方程序，可..[详情]

XSS终结者：Content Security Policy（CSP） - 网站安全关注热度:35

Content Security Policy（CSP）简介传统的web安全应该主要是同源策略（same origin policy）。A网站的代码不能访问B网站的数据，每个域都和其他的域相互隔离，给开发者营造了一个安全沙箱。理..[详情]

基于HTML5的Canvas指纹跟踪技术 - 网站安全 - 自学关注热度:23

时至今日有许多的方式来跟踪访客，例如使用存在用户端的cookie技术，这种技术现已被大部分公司遗弃，如今出现了一种新的方法替代cookie可以来跟踪用户。在这两年中，许多网站和跟..[详情]

web前端黑客技术之数据与指令【sql注入、xss跨站关注热度:20

首先，我们知道，用浏览器打开一个网站，呈现在我们面前的都是数据，服务器端存储的（数据库，内存，文件系统等）、客户端存储的（本地Cookies,flash Cookies等），传输中的（json数据..[详情]

ecshop安全方面的一些参考建议 - 网站安全 - 自学关注热度:21

一，ecshop安装，其实很简单，只要一直下一步下一步点击即可，这样总是没有错的，因为官方不可能给我们一个有问题的程序，尽量从简即可。请注意一下两点A：在安装ecshop的时候，不..[详情]

西部数码储存型xss影响部分代理商 - 网站安全关注热度:23

百度 西部数码代理 随意打开个。注册用户 提交问题。改包 将 uploadFileName参数 改为xxx jpgonerror=eval(String fromCharCode(97,108,101,114,116,40,49,41))在 问题跟踪处理 我们可以发现 我们 提..[详情]

php-mysql-sleep-benchmark注入引起的攻击 - 网站安全关注热度:25

sleep函数benchmark函数存入注入的危害mysql如果存在注入,并且注入的sleep语句如果传入一个足够大的参数,比如：sleep(9999999999) 如果数据库用的是myisam引擎,且注入点是某个会锁表的语句(ins..[详情]

Typecho 0.9(13.12.12) CSRF修改管理员密码漏洞 - 网站安关注热度:39

We enjoy hacking of life in day and night _______________________________________________ [+] HSID: FF000-HSDB-0002 [+] Author: Evi1m0..[详情]

用友协作办公平台通杀SQL注入 - 网站安全 - 自学关注热度:16

用友协作办公平台通杀SQL注入用友协作办公平台存在通杀SQL注入漏洞,至少影响到5 5 2版本(不知道是不是最新) 漏洞文件 cooperate traceNodes jsp漏洞代码如下%User user = (User)ResourceManage getSessi..[详情]

加强政府网站安全的对策与建议 - 网站安全 - 自关注热度:13

党的十八大报告中首次将网络空间安全作为三个国家安全之一提出来，网络空间是信息时代的基本标志，网络空间安全正在成为影响国家安全，成为渗透、影响甚至决定其他领域发展和..[详情]