欢迎来到[自学php网] ①群 287460651

SSRF攻击实例解析 - 网站安全 - 自学php关注热度:16

ssrf攻击概述很多web应用都提供了从其他的服务器上获取数据的功能。使用用户指定的URL，web应用可以获取图片，下载文件，读取文件内容等。这个功能如果被恶意使用，可以利用存在缺..[详情]

使用PHP的PDO_Mysql扩展有效避免sql注入 - 网站安全关注热度:14

首先，什么是sql注入？用大白话说就是：当一个人在访问你的应用时，需要输入，他的输入是一些特殊的字符，你没有对输入进行过滤处理导致他的输入改变了你的sql语句的功能，实现..[详情]

ModSecurity SQL注入攻击 – 深度绕过技术挑战 - 网站关注热度:40

ModSecurity是一个入侵探测与阻止的引擎，它主要是用于Web应用程序所以也可以叫做Web应用程序防火墙 它可以作为Apache Web服务器的一个模块或单独的应用程序来运行。ModSecurity的目的是为..[详情]

逐浪CMS通用型SQL注入1+2 - 网站安全 - 自学php关注热度:22

其实这套东西好多注入。注入1：http: demo zoomla cn mis target page aspxTxtKey参数string selectedValue = this drType SelectedValue;string text = this TxtKey Text;this dt = this bll Sel(stri..[详情]

Bypass xss过滤的测试方法 - 网站安全 - 自学php关注热度:86

0x00 背景本文来自于《Modern Web Application Firewalls Fingerprinting and Bypassing XSS Filters》其中的bypass xss过滤的部分，前面有根据WAF特征确定是哪个WAF的测试方法给略过了，重点来看一下..[详情]

shopex 4.8.5 产品筛选页面某处没有intval导致注入关注热度:47

涉及版本：shopex-single-4 8 5 80603是否需要登录：无需登录是否默认配置：是有无利用代码：code漏洞细节：产品筛选页面价格区间某处没有intval导致注入 http: www dynest com readme txt9月2号的补..[详情]

ecshop 2.73 lib_transaction.php文件二次SQL注入漏洞分析关注热度:57

对蘑菇街表示感谢，本博客欢迎投稿。一个二次注入，insert型，可直接读取数据库管理员信息利用过程：找个商品购买，修改颜色单选按钮的value2prime;),(rsquo;6prime;,rsquo;c4598c0015367d28cfcb..[详情]

XDCMS企业管理系统SQL注入#2 - 网站安全 - 自学php关注热度:27

最新版XDCMS企业管理系统，由于过滤不严，可绕过限制，导致SQL注入注入在XDCMS企业管理系统的登录功能处，来看看 system modules member index php文件： 登录时会调用login_save进行登录验证，问..[详情]

XDCMS企业管理系统SQL注入#1 - 网站安全 - 自学php关注热度:21

最新版XDCMS企业管理系统，由于过滤不严，可绕过限制，导致多处SQL注入注入在XDCMS企业管理系统的注册功能处，来看看 system modules member index php文件：注册时会调用register_save，问题就出..[详情]

siteserver最新版3.6.4 background_mailSubscribe.aspx页面注关注热度:20

注入存在 siteserver cms background_mailSubscribe aspx用 NET Reflector 反编译SiteServer CMS dll这个文件查看代码如下：if (((((uint) isPostBack) - ((uint) isPostBack)) = 0) isPostBack)..[详情]

开源轻论坛StartBBS前台getshell - 网站安全 - 自学关注热度:32

直接写一句话getshell。所有测试都是在本地进行的哦，我立志做一个好孩纸~！心血来潮读读代码。StartBBS界面挺清爽的，体积也小。下载下来安装。 安装好后发现根目录下多了一个inst..[详情]

Shopex反射型XSS - 网站安全 - 自学php关注热度:19

Shopex 4 8 5 81518反射型XSShttp: site shopex-single-4 8 5 81518 index php?product-iframe src=javascript：window[ x61 x6c x65 x72 x74](0x1) -30763-viewpic html编码一下就能 alert(1)修复方案..[详情]

espcms Command Execution Vulnerability可getshell（鸡肋）关注热度:31

在后台getshell，略鸡肋在 datacache command php文件$CONFIG=Array( ICP备案 39;icpbeian 39;= 39; 39;, 网站状态 39;is_close 39;=0, 管理员Em..[详情]

TOM 幻剑书盟整站沦陷（nginx+Fckeditor xss） - 网站安关注热度:34

原打算测试下xss 练练手发现用户资料处存储xss一枚发表书籍的时候,不小心点击了右键,好熟悉的fckeditor得到上传地址http: i hjsm tom com js fckeditor editor filemanager connectors uploadtest html在翻上..[详情]

trs某商业系统多个安全漏洞 - 网站安全 - 自学p关注热度:26

trs某商业系统多个漏洞集合 包括信息泄露 xss 未授权访问等trs was40产品存在多个安全漏洞1 未授权访问直接访问was40 tree可以看到一些后台功能2 信息泄露访问was40 passwd passwd htm输入一个不..[详情]