欢迎来到[自学php网] ①群 287460651

父母网某漏洞可getshell - 网站安全 - 自学php关注热度:41

父母网某漏洞引发的shell危机，多站点沦陷，数据库什么的就不用我写了吧。。漏洞地址：taobao fumu com是个解析漏洞:http: taobao fumu com robots txt 1 php然后我发现这个网站服务器貌似是改过了..[详情]

派代网某处绕过XSS过滤跨进后台 - 网站安全 - 自关注热度:24

好久没有玩XSS了，看派代的管理员在漏洞回复中说有不少小伙伴在扫描他们网站（感觉这就不好了吧，大家可以收到测试嘛，不要把人家服务器扫坏了），看了派代很受欢迎，就手工检..[详情]

PPS逻辑错误导致可重置他人账户密码(爱奇艺中枪关注热度:21

第一次在这个位置发现此类问题，以PPS官方账户webid@web02 ppstream com为例1、进行密码重置操作2、以往进行到这步，马上登录邮箱查看密码重置链接是否存在缺陷，这次在重发发送时进行截..[详情]

MacCMS 6.x referer处理不当引发注射 - 网站安全 - 自关注热度:37

user service phpfunction Popularize(){ global $db; $userid = safeData(userid,get); if (!isNum($userid)) { die(用户非法,请从新登陆!);} $Ip = getip();..[详情]

Discuz! X2 后台鸡肋 包含[非常鸡肋] 在特定的环境关注热度:24

看到有人问 Discuz! X2 如何拿shell，我就下载了个 Discuz! X2 Release 20130201 试试发现 Discuz! X2 后台一个非常非常非常非常鸡肋的包含，利用条件比较鸡肋：因为限制了 包含文件的后缀名为 *..[详情]

PHPCMS 2008 后台死限制Getshell的另类方法 - 网站安全关注热度:53

PHPCMS 2008 网上的那些后台getshell方法都不可用的时候，还有一个逻辑设计错误。导致后台直接getshell，还不会报错。getshell的方式完全不影响源程序的正常运作。偶然得到某站点的后台帐..[详情]

360shop旗下产品淘宝通系统购物车注入及修复 - 网关注热度:26

注入点：http: www saymamu com flow php注入参数：xajaxargs[]买个东西，进入购物车结算页面，然后修改商品数量用户在购物车修改商品数量时存在sql注入漏洞：修复：过滤..[详情]

天生创想OA存储型xss（可打任意账户） - 网站安全关注热度:15

为网站安全爱好者及从业人员提供网站程序漏洞分析,安全防范等web安全技术文章..[详情]

mysql拿webshell/服务器的方法 - 网站安全 - 自学ph关注热度:20

80端口只有Apache web server 页面不知道网站路径。win 03的主机mysql version:4 0 13-nt是root权限apache 版本:apache httpd 2 0 483306端口开了外连 并且是弱口令,已经知道了帐号 密码开的端口有 135..[详情]

一次失败的”写权限变立即执行”尝试 - 网站安关注热度:29

Ps:觉得很有必要记录下这次探索的过程,你有更好的想法不妨提示我场景:web 外网,apache,PHPdb 内网,mysql,win 6 1 x64一个GET的UNION Select MySQLi,是Root权限,你会怎么玩?0times;01 challeng..[详情]

"一句话"的艺术——简单的编码和变形绕关注热度:18

0x00 背景话说现在针对Web端文件代码检测的服务器安全类软件已经非常普及了，常见的有阿D保护盾、安全狗、护卫神、360网站卫士。它们所拥有的功能也大致相同，如：+------------------..[详情]

eshop 网趣网上购物系统旗舰版V7.5 0day +GETSHELL - 网关注热度:25

测试说明：环境：window2003+IIS6 00X1：发现两处存储型XSS0x101：注册新用户0X2 后台模拟管理登录及操作0X201：证明结果、登录0X202：添加管理员帐号OK 登录后台0X3：GETSHELL点击上传后看看源码..[详情]

防止别人查看网页源代码的方法分析 - 网站安全关注热度:35

先前有一朋友做了个网站，但是有担心别人复制他的网站内容和源代码，就问怎么样才能防止人家看他网站的源码？（其实谁愿意看他网站哇呵呵 开玩笑的啦）对于防止别人看网页源代..[详情]

WordPress Persuasion Theme 'dl-skin.php'任意文件访关注热度:22

漏洞起因输入验证错误危险等级中影响系统Wordpress Persuasion Theme 2 0Wordpress Persuasion Theme 2 3不受影响系统危害远程攻击者可以利用漏洞获取系统文件内容。CVSSv2:攻击所需条件攻击者必须访..[详情]

Web安全实践（4）c#简单http编程示例 - 网站安全 - 自学php网关注热度:76

关于http 编程 我们可以采取套接字的方式遵循http协议来做。我采用的C#，对于http编程微软提供了已经封装好的类，WebRequest，WebResponse，HttpWebRequest，HttpWebResponse是常用的几个类，关于这..[详情]