PHP防CC攻击的方法(防止快速刷新) - 网站安全 - 自关注热度:14

1.session记录submit.php为发送页面,在这个页面上设置一个session变量,,并作为隐藏域和表单一起发送到,submitdeal.php页面.在服 务器端把post上来的隐藏变量和服务器端记录的session变量进行对比..[详情]

利用xss执行sql注入 - 网站安全 - 自学php关注热度:11

昨天看见phpcms v9.1.15爆的xss和无权限的sql注入，于是就想测试下利用xss执行sql注入，虽然爆的这个phpcms漏洞还有很多其他的用法！但是，这个注入我没有找到phpcms v9.1.15测试，其他版本都..[详情]

74CMS(骑士人才系统)几个注入(可进后台) - 网站安关注热度:13

整套程序过滤的还是比较全面的 不过所有版本都是GBK编码是他的硬伤 但是基本上字符串入库的时候作者都使用了iconv来把提交过来的数据编码转换成utf8所以利用宽字符注入就没办法了..[详情]

xss获取街旁网官方账号-街小旁 - 网站安全 - 自学关注热度:14

利用一处持久型xss获取街小旁的账号1.持久型xss：http://jiepang.com/venue/tips?guid=5842A4B18F5F1B3Cpage=22.获取cookie将该链接发给街小旁，或者让小旁直接去我主页，利用xss获取小旁的cookie利用coo..[详情]

爱拍CSRF 未经用户同意可更新日志 - 网站安全 -关注热度:14

在接受POST信息时，未对POST来路(Referer)进行验证，对POST信息中的bid要求不严，导致漏洞产生。漏洞证明：漏洞地址：http://www.aipai.com/space.phphtmlbody www.2cto.comform id=imlonghao name=i.....[详情]

知乎存储型xss及修复 可获取用户cookie信息 - 网站关注热度:18

知乎在编辑个人资料一句话介绍处，没有过滤双引号（过滤了、),导致span后内容可控,即形如span 可控内容/span，在啤酒@wooyun大神的指点下，终于想到在一句话介绍这里写入test onmousemove..[详情]

八步增强WordPress站点安全 - 网站安全 - 自学php关注热度:15

站点安全永远是一个不可忽视的问题。Wordpress本身在站点安全上做的非常好，然后由于使用者的自身问题，导致黑客能够轻易的进入你的Wordpess站点。其危害是显而易见的，重则站点数..[详情]

ecshop远程代码执行漏洞 - 网站安全 - 自学php关注热度:33

Php code injectionTarget:http://www.cunlide.com/（可能是作者网站）ecshop 版本不祥 貌似09awvs 扫之存在sql注入、php code injection、等等多种漏洞。开始试验各种exp 无果Php code injection 需.....[详情]

SQL通用防注入系统asp版 插一句话漏洞利用 - 网站关注热度:16

今晚群里朋友叫看个站，有sql防注入，绕不过，但是有发现记录wrong的文件sqlin.asp。既然做了记录，再查看了下它的记录文件于是想着构造个asp一句话写进去，前面几种没加密的都失败了..[详情]

ewebeditor无上传图标按钮突破上传 - 网站安全 - 自关注热度:12

当遇到ewebeditor编辑器无上传按钮的时候，能设置样式，上传文件后缀能定义，可以下载数据库看S_ID和S_Name看样子是有路,马上调用他http://www.2cto.com /admin/ewebeditor/ewebeditor.asp?id=45style=s_e..[详情]

新浪微博两处CSRF漏洞 - 网站安全 - 自学php关注热度:26

新浪微博某处CSRF漏洞，可能导致蠕虫蔓延，在未经用户同意的情况下发布微博详细说明：在接受POST和GET的信息的时候，未对POST来路(Referer)进行验证，同时也没有在POST的信息中加token验..[详情]

安全性测试分享之SQL注入 - 网站安全 - 自学ph关注热度:13

安全性测试是指机密的数据确保其机密性以及用户只能在其被授权的范围进行操作的这样一个过程例如： a 机密内容不暴露给不被授权的个人或用户实体 b 用户不能单方面有权限屏蔽掉..[详情]

SAE云服务安全沙箱绕过3(绕过命令执行防御) - 网关注热度:14

摘要谢各位捧场，经过努力，作者已经打到了第三关，这一关叫做命令执行关。也不知道是因为作者描述不清楚，还是SAE的理解出现偏差，我们没有直接沟通过，只是作者写篇文章，先..[详情]

phpcms v9 UTF8最新多处爆路径(含临时解决方案) - 网关注热度:23

http://www.phpcms.cn/phpsso_server/phpcms/libs/classes/model.class.php作者 蓝天www.2cto.com：补充临时解决措施：找到 pc_base::load_sys_class(db_factory, , 0);前面加一@符号即可..[详情]

WebLogicV9.0后台拿shell - 网站安全 - 自学php关注热度:19

..[详情]