欢迎来到[自学php网] ①群 287460651

web常见攻击六——文件上传漏洞 - 网站安全 - 自关注热度:33

我是在dvwa（Damn Vulnerable Web App）上学到的这些东西，我把dvwa安装在了我的免费空间上，有兴趣的可以看看。DVWA想要用户名和密码的可以联系我：sq371426@163 comdvwa 用的验证是google提供的，..[详情]

SQL注入的基本原理和防御方法 - 网站安全 - 自学关注热度:22

SQL注入，这个词相信多数程序员都不陌生。而且可能都对这样的漏洞攻击有过修补的经验。本文主要还是写给一些新手程序员看，避免自己写的程序被黑客利用，提升安全性。下面以P..[详情]

web常见攻击一——暴力破解（Brute Force） - 网站安关注热度:24

本人也是php新手，也许写的有错，望大神指出。所谓的暴力破解攻击就是攻击者无限次尝试用户名和密码，试图登录网站。如果攻击者无限次的尝试，肯定会把密码尝试出来，所以我们..[详情]

discuz!某自带工具，由于使用不当，可以造成web关注热度:22

discuz!某自带工具，由于使用不当，可以造成webshell。而且经过调查，使用者数量较大。discuz! 安装包中会自带一个转换工具 convert这个工具由于存在安全问题，可以拿shell一般存在网站目..[详情]

搜狐微博任意批量无限制刷粉 - 网站安全 - 自学关注热度:21

1、首先存在缺陷的地方是新人激活的那个页面，因为没有保留截图，你们就自己测试吧。接口我贴出来。POST follow addfollows HTTP 1 1Host: t sohu comProxy-Connection: keep-aliveContent-Length: 353Acc..[详情]

随笔记任意文件读取 - 网站安全 - 自学php关注热度:18

某笔记可任意读取文件https: file suibiji com att?src= etc passwd注册一个号～任意读取文件～～看到var www了～～～好像还看到了什么什么～修复方案：补补..[详情]

IIS7.5安全配置研究 - 网站安全 - 自学php关注热度:17

0x00 测试环境操作系统：Windows Server 2008 R2 Enterprise Service Pack 1 x64IIS版本：IIS7 5程序：asp net0x01 IIS7 5的安装http 常见功能：开启静态内容，默认文档，HTTP错误；目录浏览，WebDAV..[详情]

PHP代码网站防范SQL注入漏洞攻击的建议 - 网站安关注热度:18

所有的网站管理员都会关心网站的安全问题。说到安全就不得不说到SQL注入攻击（SQL Injection）。黑客通过SQL注入攻击可以拿到网站数据库的访问权限，之后他们就可以拿到网站数据库中..[详情]

富文本编辑器的跨站脚本问题参考 - 网站安全关注热度:20

富 文本编辑器是一个开放式的HTML内容编辑环境，必须实现文字样式、链接、图片等功能的HTML，所以用户POST的内容必须含有HTML标签，但是任由 用户输入各类HTML标签，会造成一些潜在的..[详情]

ThinkSNS一处任意文件包含 - 网站安全 - 自学php关注热度:33

ThinkSNS一处任意文件包含。一定条件下可以getshell问题发生在public minify phpallowed_content_types = array( 39;js 39;, 39;css 39;);$getfiles = explode( 39;, 39;, strip_tags($_GET[ 39;f..[详情]

多备份(DBFen)某分站nginx解析漏洞(可getshell) - 网站关注热度:25

因是论坛故存在上传 通过头像上传处抓包二次渲染前的加入php phpinfo();?原图 http: bbs dbfen com data attachment forum 201401 20 124804tkv7xu06npxs839v gif php通过phpinfo获取服务器真实IP 改host绕..[详情]

中国联通wo用户密码重置 - 网站安全 - 自学php关注热度:60

http: wap 17wo cn 这个网站可以进行密码重置首先点忘记密码然后输入自己的手机号，等验证码，输入验证码后可以就进入了密码重置的页面了。把我们的手机号改成别人的手机号输入重置..[详情]

集思鹏jspcms系统通用sql注入 - 网站安全 - 自学p关注热度:21

背景不做介绍集思鹏jspcms存在数据库注入漏洞，很直接该cms系统在江苏省各大高校中普遍应用测试了部分站点，60%都存在问题目前存在多个版本，v4 0及以上版本存在此注入，v4 0以下版本..[详情]

Jboss远程代码执行漏洞CVE:2013-4810获得system权限关注热度:142

此方法成功的渗透至Windows系统并获得最高权限exp此方法成功的渗透至Windows系统并获得最高权限exp?php *Apache Tomcat JBoss EJBInvokerServlet JMXInvokerServlet (RMI over HTTP) Marshalled Obj..[详情]

Discuz附件下载权限绕过方法 - 网站安全 - 自学p关注热度:29

越权下载含有阅读权限的插件、下载插件免扣币重现步骤：1、使用管理员账户，上传一个有高阅读权限的附件2、使用低权限的用户账户，下载附件，这个时候，Discuz会提示无权下载此时..[详情]