欢迎来到[自学php网] ①群 287460651

易车网某处问题可导致刷钱换礼品 - 网站安全关注热度:30

后台内用户管理处有一批量统一发送车币功能。前台注册了一个账户roots然后后台给此账户发送车币：888888本以为车币就是站内的一种积分功能，么想到还可以换东西 这样就成了形式上..[详情]

51信用卡管家新产品（U51账户管家）任意用户账户关注热度:25

今天在看新闻，发现某公司出了新产品，号称可以可直接连接储蓄卡网银解析账单，突破以往只能解析信用卡账单的限制，作为每看到新产品都想跃跃欲试的偶，觉得安全问题才是我考..[详情]

华为网盘部分用户密码修改 - 网站安全 - 自学p关注热度:39

华为网盘部分用户密码修改针对绑定了手机号的用户可以修改其密码（用户注册后可以在设置里绑定手机）本次攻击不需要知道目标的手机号，只需要知道用户名（通常是邮箱或者手机..[详情]

实战绕过360网站卫士WEB防护与SQL注入规则 - 网站关注热度:45

在测试的时候，发现使用安全狗的站点，进行sql查询时，安全狗进行了拦截，但是发现可以绕过安全，获得数据库信息。对于防护设备来说，如果在开启时，让渗透者获得的重要信息，..[详情]

新浪saepythontip执行未使用沙箱机制导致代码泄露关注热度:55

在pythontip在线执行中可以获得程序源代码和程序配置pythontip在线编程没有屏蔽os模块中的许多功能，也没有阻止open读取文件内容，导致源代码泄露；pythontip在线编程没有使用隔离的pyth..[详情]

链家旗下自如网用户/员工信息全泄露 - 网站安全关注热度:59

一接口无任何权限控制，可以获取任意员工和租客全部资料。全部资料包括：邮箱、手机、身份证号码、家庭住址、婚否、工作职位（员工），公司，安全问题，安全问题答案 存在于找..[详情]

盛大云某系统未经授权访问(可执行任意代码) -关注热度:22

盛大云未经授权访问。地址：http: vm-192-168-10-137 shengyun grandcloud cn jmx-console HtmlAdaptor?action=inspectMBeanname=jboss classloader%3Aid%3Dvfsfile%3A%2Fhome%2Fmichael%2Fliferay%2Fliferay..[详情]

Thinksaas某处绕过过滤的注射及修复 - 网站安全关注热度:22

添加标签过滤不严。今天下了一个thinksaas 最新版， 就看了看在xfkxfk 爆了一些洞后 还是变安全了一些。 但是还是有很多依旧没过滤。xfkxfk 爆了app tag action add php我看的漏洞文件 app tag..[详情]

PHPOK CSRF获取管理员权限及修复 - 网站安全 - 自学关注热度:23

测试环境（PHPOK）：添加用户：抓包抓到如下内容：POST phpok admin php?c=adminf=save HTTP 1 1Host: www evil comProxy-Connection: keep-aliveContent-Length: 67Cache-Control: max-age=0Accept: t..[详情]

MetInfo系统备份文件在特定环境下可被任意下载关注热度:20

MetInfo系统备份文件在特定环境下可被任意下载Windows下采用了短文件名机制，如C: 2cto12312394944545 txt可采用C: 2cto~1 txt访问生成一个备份文件，文件名是这样的http: 127 0 0 1 admin databack sql m..[详情]

探索比邻妹子修改任意用户信息 - 网站安全 - 自关注热度:25

探索比邻妹子修改任意用户信息可以修改任意用户的个人信息。某哥们要是手一哆嗦就全改了。现在的时间已经可以说明，没错、我失眠了。在看完一部电影（XX女），突然提及比邻只给..[详情]

SupperRadius企业版V3.0 SQL注入漏洞 - 网站安全 - 自学关注热度:29

SupperRadius企业版V3 0 SQL注入漏洞SupperRadius企业版V3 0 SQL注射漏洞家里上网用的宽带恰好是用supperradius来计费的。在企业版中的web services存在一处SQL注射漏洞，能够查询、删除、修改数据库..[详情]

Joomla插件构造函数后门分析 - 网站安全 - 自学p关注热度:56

Joomla插件构造函数后门分析本文介绍我们在Joomla插件中发现的一个有（wei）趣（suo）的后门。尽管感觉有点不太对劲，不过由于代码组织良好，最开始我们没有意识到里面包含后门。插..[详情]

天宇手机官网伪静态SQL注入漏洞 - 网站安全 - 自关注热度:21

天宇手机官网伪静态SQL注入漏洞测试URL http: www k-touch cn product condetail prod_id 123 htmlweb server operating system: Windows 2003web application technology: ASP NET, Microsoft IIS..[详情]

那些年，那些 Apache Struts2 的漏洞 - 网站安全 - 自关注热度:21

每次 Apache Struts2 漏洞爆发都在互联网上掀起腥风血雨，我们整理了近年来 Apache Struts2 高风险漏洞的信息供大家参考。针对此次 Apache Struts2 的漏洞，绿盟科技已提供在线检查工具帮助大..[详情]