抱歉，应厂商要求本文已经删除，请理解 - 网站关注热度:11

抱歉，应厂商要求本文已经删除，请理解..[详情]

新浪建材产品库存在sql注射 可进后台 - 网站安全关注热度:18

新浪分站后台存在sql注射http://supports.jiaju.sina.com.cn/admin/admin_login.php?action=login用户输入：1,2,#39;21232f297a57a5a743894a0e4a801fc3#39;,4,5,6,7,8,9,10,11 from PRODUCT_sys_user#密码:a.....[详情]

Vanilla Forums几个插件的持久型XSS - 网站安全 - 自关注热度:10

第一个: Vanilla About Me Plugin Persistant XSS VulnerabilityGo to http://www.2cto.com /index.php?p=/profile/editme/4/testmemberPost your XSS In any of the text fields, for this.....[详情]

php对外发包引发服务器崩溃的终极解决方法分享关注热度:27

据星外科技原创ip策略,总结DEDECMS php对外发包引发服务器崩溃的终极解决方法,希望可以帮助客户解决服务器问题,让网站运行的更好一#65380;php对外发包分析用php代码调用sockets,直接用服务..[详情]

MyPower3.5(动力)渗透&后台拿shell方法 - 网站安全关注热度:30

是个ASP站点.随便点了个连接习惯性的加个#39;结果提示处理URL时服务器出错。请与系统管理员联系。看来是使用了某个防注射系统.用啊D扫了一下也没有发现注射点.有些叉子们可能看到没..[详情]

飞飞影视系统(PHP) v1.9 注入漏洞及修复 - 网站安全关注热度:31

使用方法：http://www.2cto.com /?s=vod-read-id-1%20and%201=2%20union%20select%201,2,3,4,5,6,7,8,9,10,11,12,13,14,15,16,17,18,19,20,21,22,23,24,25,26,concat(0x40,admin_id,0x40,admin_name,0x40,admin.....[详情]

51fanli由于设计不当,存在一定安全隐患 - 网站安全关注热度:23

问题主要有以下几点1.用户登录Form采用GET提交到服务器去验证(在某些情况下可被代理或网络中其他恶意用户嗅探到)2.用户密码直接以md5形式保存在cookie中sundxshop变量中,格式为username=e0..[详情]

人人网Oauth 2.0授权可导致用户access_token泄露 - 网关注热度:33

人人网Oauth 2.0授权对第三方应用的redirect_uri限制不是很严格，如果第三方网站存在xss等可以诱导用户泄露其access_token。不过人人网的api接口有sign验证，拿到access_token也很难利用。详细说..[详情]

糗事百科小纸条功能存在注入 - 网站安全 - 自学关注热度:23

某处存在注入点，可union详细说明：小纸条功能中未作过滤，追加，回复等都存在过滤。比如：（星号为数字，怕你封我ID）http://www.qiushibaike.com/new4/messages/new@123****?id=127**** 修复方案：过..[详情]

酷6网分站几点饭团网一个注入漏洞 - 网站安全关注热度:12

fans.ku6.com 分站注入，可以获取全部数据库数据，包括管理员帐户密码。如果被利用，可以获取shell，取得服务器权限，进一步可能为渗透社工酷6网主站埋下祸根。注入点：http://fans.ku6..[详情]

PHP中通过语义URL防止网站被攻击的方法分享 - 网关注热度:23

好奇心是很多攻击者的主要动机，语义URL 攻击就是一个很好的例子。此类攻击主要包括对URL 进行编辑以期发现一些有趣的事情。-什么是语义URL 攻击？好奇心是很多攻击者的主要动机，..[详情]

关于“高校现代教学管理系统漏洞”的攻击与防关注热度:21

前段时间在群里看到一哥们分享了一个高校现代教学管理系统漏洞，方法很简单，很快就能拿到webshell。原理和fck差不多，也是利用上传功能。ftb.imagegallery.aspx这是一个具有上传功能的目..[详情]

对“一种少见的跨目录写webshell方法 ”文章的剖关注热度:14

睡醒了看来下群里信息老C(16*65) 2:55:38一种少见的跨目录写webshell方法老C(16*65) 2:55:50谁对这个跨目录写马原理了解 ？老C(16*65) 2:56:10我试了几个iis账户都不行。YoCo (私聊不回)(36*37) 2:56:12跨..[详情]

易通企业网站系统(cmseasy) 权限提升及getShell通杀关注热度:12

易通企业网站系统(cmseasy) 注册用户在更新资料时和本地构造groupid表单(判断管理员权限 为888即为管理员)，可直接拿提升为管理权限,后台多处可以getShell,只要开放注册 通杀详细说明：漏..[详情]

乐视网漏洞合集及修复方案 - 网站安全 - 自学p关注热度:9

1，内部查询接口无验证且匿名开放http://123.126.33.234:8080/api/statistic/2，二处内部系统SVN泄露DNS管理系统http://123.126.33.236/pages/.svn/entries视频审核管理系统http://vas.letv.com/.svn/entries通过.....[详情]

快速找到windows2003系统下是哪个网站发包 - 网站关注热度:17

www.2cto.com：可以在本站查找phpddos解决方案首先是看本地连接的收包和发包量，排除服务器被黑的情况，然后打开C:\WINDOWS\system32\LogFiles\HTTPERR ，找到最新的一个iis日志，然后ctrl+F 搜索p..[详情]

Liferay Portal 6.1 - 6.0.x权限扩大 - 网站安全 - 自学关注热度:24

Liferay 用户可以在系统里指派自己权限，致使存在权限扩大可能简述Liferay Portal is an enterprise portal written in JavaDue to insufficient permission checking in the updateOrganizatio.....[详情]

Serendipity 1.6后端XSS及SQLi缺陷 - 网站安全 - 自学关注热度:15

标题Serendipity 1.6 Backend Cross-Site Scripting and SQL-Injection vulnerability作者Stefan Schurtz影响版本: Successfully tested on Serendipity 1.6开发者官网：http://www.s9y.org状态：已.....[详情]

91736cms Getip SQL Injection & 后台妙拿 WebShell - 网站关注热度:26

Author:Yaseng DesperadoTeam:CodePlayChinaz 下其源码 读之发现有万恶的GetIp()//获取IPfunction getip() { if (getenv ( HTTP_CLIENT_IP )) { $httpip = getenv ( HTTP_CLIENT_IP ); .....[详情]

手机QQ（网页版）未授权登录 - 网站安全 - 自学关注热度:52

当在QQ空间发布一条说说链接到一个网站，而手机用户通过该链接进入网站后，网站主可以通过数据统计查看访问明细的方式查看来路，通过来路链接可以直接登录用户QQ，造成未授权登..[详情]

一个伪黑客的成功的秘密2：Jboss入侵 - 网站安全关注热度:32

咱们前面分享了TOMCAT入侵的一点小小经验（http://www.2cto.com/Article/201205/132148.html）。下面咱们分享一下最常见和简单的Jboss入侵。Jboss一个基于J2EE的开放源代码的应用服务器，JBoss核心服务..[详情]

高配置机器在CC攻击需要做的调整 - 网站安全 -关注热度:21

PS.貌似有人提到流量攻击，，这种，建议找有硬防的机器，大带宽的机器，或者直接关机，，，这里就不讨论了，CC攻击消耗的只是个人的精力和财力。。低配置的花精力大折腾，，高配..[详情]

Msnshell的那个有问题的官方下载链接追踪 - 网站安关注热度:14

有问题的页面：http://www.msnshell.net/download.html官方下载地址应该是有问题的，似乎被人替换过，文件只有300多k，virustotal等一堆报毒；而指向天空软件站等下载的就有5.xMB，本地扫描和快速..[详情]

TMD5.com上线:md5在线解密单条查询免费 - 网站安全关注热度:74

为更好的服务大家，经过一段时间的筹备md5在线解密网站 www.tmd5.com上线了本站多台服务器支撑数十T容量的免费在线md5解密功能，成本较高，需要您的支持ps：我们知道，经常来我们网站..[详情]

Axous 1.1.1多个缺陷 (CSRF -持久型 XSS) - 网站安全关注热度:34

标题: Axous 1.1.1 Multiple Vulnerabilities (CSRF - Persistent XSS)作者: Ivano Binetti www.2cto.com (http://www.ivanobinetti.com)软件下载: http://www.axous.com/get.php?pid=1程序开发者网.....[详情]

OpenKM Document Management System 5.1.7命令执行 - 网站安关注热度:21

COMPASS SECURITY ADVISORY http://www.csnc.ch/########################################################################影响产品: OpenKM Document Management System 5.1.7 [1]开发者: OpenKM .....[详情]

Artiphp CMS 5.5.0数据库备份泄露Exploit - 网站安全关注热度:17

?php/*Artiphp CMS 5.5.0 Database Backup Disclosure Exploit作者: Artiphp www.2cto.com http://www.artiphp.com影响版本: 5.5.0 Neo (r422)Summary: Artiphp is a content management sys.....[详情]

讯时后台管理系统v4.9鸡肋漏洞 - 网站安全 - 自学关注热度:22

前言：前阶段测试了下讯时后台管理系统，这个系统有个很吊的功能，就是能记录管理登录日志（包括用户名和ip），而且还不能在后台删除。我艹，在我测试的时候，一直在用admin测试..[详情]

PHP 5.4 (5.4.3) Code Execution (Win32) - 网站安全 - 自学关注热度:17

// Exploit Title: PHP 5.4 (5.4.3) Code Execution 0day (Win32)// Exploit author: 0in (Maksymilian Motyl)// Email: 0in(dot)email(at)gmail.com// * Bug with Variant type parsing .....[详情]

网易微博CSRF漏洞 可能造成蠕虫 - 网站安全 - 自学关注热度:21

1、登陆http://t.163.com2、访问http://50.19.159.231/163.html3、回到微博首页，自动发微博加关注漏洞证明：htmlheadtitle163 weibo csrf test/titlescript type=text/javascript//follow mef.....[详情]