欢迎来到[自学php网] ①群 287460651

百度贴吧点击劫持(可恶意刷粉丝)及解决方案 - 网站安全 - 自学php网关注热度:102

百度贴吧没考虑点击劫持防御，可造成恶意刷粉丝。 估计很多地方都没考虑，还可以继续挖。 点击劫持（ClickJacking）是由互联网安全专家罗伯特.汉森和耶利米.格劳斯在2008年首创的。..[详情]

慕课网IOS客户端SQL注入（附脚本） - 网站安全 - 自学php网关注热度:96

在iOS客户端点击某一个课程时，post请求如下 POST /api2/getmediainfo_ver2 HTTP/1.1Host: www.imooc.comProxy-Connection: keep-aliveAccept: */*Accept-Encoding: gzip, deflateCookie: Hm_lvt_f0cfcccd7b1393990c78efdeebff3968=14221776..[详情]

某电商网站流量劫持案例分析与思考 - 网站安全 - 自学php网关注热度:94

【前言】 自腾讯与京东建立了战略合作关系之后，笔者网上购物就首选京东了。某天在家里访问京东首页的时候突然吃惊地发现浏览器突然跳到了第三方网站再回到京东，心里第一个反..[详情]

格式化字符串漏洞实验 - 网站安全 - 自学php网关注热度:81

一、 实验描述 格式化字符串 漏洞 是由像printf(user_input)这样的代码引起的，其中user_input是用户输入的数据，具有Set-UID root权限的这类程序在运行的时候，printf语句将会变得非常危险，..[详情]

SpringMVC中的XXE漏洞测试 - 网站安全 - 自学php网关注热度:146

SpringMVC框架支持XML到Object的映射，内部是使用两个全局接口Marshaller和Unmarshaller，一种实现是使用Jaxb2Marshaller类进行实现，该类自然实现了两个全局接口，用来对XML和Object进行双向解析。..[详情]

利用人人网某处设计缺陷攻击内网应用 - 网站安全 - 自学php网关注热度:76

利用人人网某处设计缺陷攻击内网应用 http://wooyun.org/bugs/wooyun-2015-091798中得ssrf可用短连接绕过。 http://widget.renren.com/dialog/share?resourceUrl=http://dwz.cn/CvchS 这样的链接就可以读取内网的一些..[详情]

PHP任意文件上传漏洞（CVE-2015-2348） - 网站安全 - 自学php网关注热度:77

安全研究人员今天发布了一个中危 漏洞 PHP 任意文件上传漏洞（CVE-2015-2348）。 在上传文件的时候只判断文件名是合法的文件名就断定这个文件不是恶意文件，这确实会导致其他安全问..[详情]

魔游游某点注入大量数据库及百万会员信息泄露 - 网站安全 - 自学php网关注热度:88

魔游游手游交易网 中国手机游戏交易第一门户 魔游游_moyoyo 最安全高效的手游交易服务平台？ www.moyoyo.com 点：http://v.moyoyo.com/web/list?cid=6 访问：http://v.moyoyo.com/web/list?cid=6 Using settings..[详情]

Alibaba CTF 2015 – XSS400 WriteUP - 网站安全 - 自学php网关注热度:91

周末两天都在疗养睡眠，恰逢 AliCTF 与 0ctf 的夺旗赛，其实我都快睡到周一了，可惜下午被 R29 叫起来说阿里出了道 XSS400 分的题还没有队伍做出，另外说明一下经过朋友得知，如果此题..[详情]

中国移动手机钱包业务getshell(涉及多个库多个旁站，可致APK替换) - 网站安全 - 自学php网关注热度:84

struts2 漏洞 地址：http://wxhd.shwxcs.cn/PhotoflyingCity/AppActivityNfc/index.action?urlcategory=1appid=AP310000000000010634areacode=310000portaltype=0columnid=accesstype=1ext=version=3usessionid=ua=resourceid=SV310000000333backurl= 服务..[详情]

总结Web应用中基于浏览器的安全漏洞 - 网站安全 - 自学php网关注热度:76

摘要 Web浏览器或者手机浏览器都是在用户与互联网之间充当着中介者的角色，在日常生活中我们使用更多的不外乎Google Chrome, Mozilla Firefox, Internet Explorer, Opera, Safari等。随着用户越来越..[详情]

Mallbuilder(多用户商城)储存型XSS指哪儿打哪儿（5处打包） - 网站安全 - 自学php网关注热度:78

首先还是来到demo演示地址：http://cn.mall-builder.com/main.php 这个demo演示地址，已经停止注册了 应该是这个洞的原因= =哈哈 WooYun: Mallbuilder(多用户商城)储存型XSS盲打后台，内附超详细解说..[详情]

爬虫技术实战 - 网站安全 - 自学php网关注热度:79

上篇文章《爬虫技术浅析》（http://www.2cto.com/Article/201411/353078.html）介绍了爬虫的基本技术，分享了一个动态爬虫demo。这篇文章主要讲解爬虫技术的实战效果。 本次介绍的结果如下：..[详情]

百度某个从SSRF到内网WebShell - 网站安全 - 自学php网关注热度:91

所有故事从一个简单的SSRF说起。。。 1、某次发现一个SSRF http://apistore.baidu.com/astore/toolshttpproxy 功能十分全，包括get post 什么的。 2、内网探测 首先从dns爆破中获取部分内网ip，然后写个..[详情]

网站实现https访问能有效防范流量劫持 - 网站安全 - 自学php网关注热度:80

流量劫持是一种古老的攻击方式，比如早已见惯的广告弹窗等，很多人已经对此麻木，并认为流量劫持不会造成什么损失。而事实上，流量劫持可以通过多种你无法觉察的方式，暗中窃..[详情]