欢迎来到[自学php网] ①群 287460651

21CN邮箱存储型XSS - 网站安全 - 自学php关注热度:35

给21cn邮箱发一封邮件邮件正文中,可以通过img标签的onerror属性进行XSS，也可以讲script标签的XSS代码进行HTML编码后发送。 39; 34; 62; 60; 115; 99; 114; 105; 112; 116; 62; 97; 108; 101; 11..[详情]

Resin viewfile远程文件读取 - 网站安全 - 自学php关注热度:39

Finger (Save water Shower with your girlfriend ) | 2014-01-13 12:04受影响系统：Caucho Technology Resin v3 0 18Caucho Technology Resin v3 0 17Caucho Technology Resin v3 0 16Cauch..[详情]

TOM邮箱核心功能存储型XSS - 网站安全 - 自学php关注热度:31

给tom邮箱发一封信，标题处插入XSS代码。收件人只要一登录邮箱，就能触发XSS，连收件箱都不需要点击如上。测试帐号:crtest 密码:123456修复方案：你们更专业:)..[详情]

iSiteCMS发布安全补丁后仍然有几处注射漏洞源码详关注热度:13

iSiteCMS 之前有过一个后台登陆时的注射，不过后来修复了，但是还有几处注射分布在XX模块以及XXX模块里本文对源代码进行了详细的分析源码分析请见详细说明，实站演示请见漏洞证明..[详情]

phpcms v9后台远程代码执行漏洞（第三弹） - 网站关注热度:68

前台了来了几期，干脆来个后台代码执行。记住。。。这是后台2次SQL执行漏洞。。。看分析。。。phpcms 官方给力点，到时候俺给你还来几发 在phpcms modules dbsource data php中add 方法方法很..[详情]

U-Mail注入之任意代码写入 - 网站安全 - 自学php关注热度:23

u-mail中某个文件由于参数过滤不严谨导致产生了SQL注入，通过此漏洞可以将shell写入到web目录下，可批量getshell。Baidu Google Keywords:-Power by U-Mail *精..[详情]

浅谈webshell检测方法 - 网站安全 - 自学php关注热度:20

一什么是webshellweb的含义是显然需要服务器开放web服务，shell的含义是取得对服务器某种程度上操作权限。webshell常常被称为匿名用户（入侵者）通过网站端口对网站服务器的某种程度上..[详情]

被小伙伴们蠢哭了的那些事儿：找回密码篇 - 网关注热度:27

郑昀 创建于2014-01-12；最后更新于2014-01-13 找回密码功能是漏洞传统重灾区，下面列出两个经典错误点，请引以为戒吧Web开发工程师们！Web安全：一）以为用户不会抓包不会看源码不会分..[详情]

Discuz的利用UC_KEY进行getshell - 网站安全 - 自学ph关注热度:38

?php 代码版权归原作者所有！ $timestamp = time()+10*3600; $host=127 0 0 1; $uc_key=eapf15K8b334Bc8eBeY4Gfn1VbqeA0N5Waofq6J285Ca33i151e551g0l9f2l3dd; $code=urle..[详情]

利腾讯大申网专题放置JS盗取用户cookies获取QQ及修关注热度:23

大申网专题审核不严，添加JS获取用户COOKIE，进而获取访客QQ号在内的COOKIE信息详细说明：利用购买的大申网（sh qq com）的专题上面放置JS，来获取访客COOKIES信息，进而提取访客QQ号，进..[详情]

360网站宝/安全宝/加速乐及其他类似产品防护绕过关注热度:29

360网站宝等云waf产品在实现的时候存在问题可以导致安全策略绕过在对GET请求处理的时候都能够识别攻击，但是一旦换成了POST请求或者是改造过的POST就不存在此问题了GET index php?id=1%2..[详情]

中通速递WebService注入一枚 - 网站安全 - 自学php关注热度:35

接口地址：http: api zto cn WebService asmx?wsdlPwd参数存在SQL注入漏洞SOAP-ENV:Header SOAP-ENV:Body urn:Search urn:Userid1 urn:Userid..[详情]

Web应用安全检测和防御机制 - 网站安全 - 自学p关注热度:17

随着互联网逐渐深入人们的生活，互联网企业也从单纯的信息供给过度到应用供给的时代，从早期的门户之争，慢慢演变成应用之战。人们可以在互联网上完成购物、社交、拍卖、交易..[详情]

路径遍历漏洞检测与防范 - 网站安全 - 自学php关注热度:20

Web应用程序一般会有对系统文件操作的功能，常常用到提交的参数来指明文件名，形如：http: www nuanyue com getfile=image jgp当服务器处理传送过来的image jpg文件名后，Web应用程序即会自动添..[详情]

QQ邮箱是如何泄密的：JSON劫持漏洞攻防原理及演关注热度:71

翻译：Tianyi_Ting 校对批注：newghost注* 作者发表这篇文章的时间较早，某些方法可能并不是最好的解决方案，但针对这种漏洞进行的攻击还依然可见，如早期的：QQMail邮件泄露漏洞。直到..[详情]