SQL Injection攻击技术绕过程序/IDS检测 - 网站安全关注热度:9

SQL injection可以说是一种漏洞，也可以说成是一种攻击方法，程序中的变量处理不当，对用户提交的数据过滤不足，都可能产生这个漏洞，而攻击原理就是利用用户提交或可修改的数据，..[详情]

链路劫持攻击一二三 - 网站安全 - 自学php关注热度:16

随着应用安全的发展，大家都比较关注应用安全漏洞，其实在应用层之下的传输层也有很多安全风险，而且这些安全风险正在被广泛利用。比如今天要给大家介绍的TCP链路劫持攻击。T..[详情]

说一说新手在寻找XSS时所存在的一些误区 - 网站关注热度:17

有段时间没写东西了， 最近看到zone里出现了很多XSS怎么绕过某某符号的帖子，觉得很多新手在寻找XSS时走进了一些误区，比如：专门想着怎么去绕过。这里做个总结，希望对大家有所帮..[详情]

安氏领信防火墙web认证系统任意文件遍历漏洞关注热度:15

/cgi-bin/css/遍历系统任意文件GET /cgi-bin/css/../../../../../../../../etc/passwd HTTP/1.1Connection: Keep-aliveAccept-Encoding: gzip,deflateAccept: */*Content-Length: 2修复方案：找安氏的黑阔们。..[详情]

xheditor在线编辑器导致存储型xss - 网站安全 - 自学关注热度:15

这次的是在限制了源码模式的情况下出现xss。首先对官网deomo进行测试。【测试举例】修复方案：对标签进行url验证，编码或过滤..[详情]

方维社会化分享系统一句话漏洞及修复 - 网站安关注热度:8

个人简介过滤不严格，将用户提交的代码保存下来，模板缓存后再次读取时直接执行用户代码！具体：个人简介埋上一句话，菜刀链接http://www.2cto.com /services/service.php?m=usera=tipuid=xxx .第一..[详情]

sqlcmd脱mssql数据库[大型库很有效] - 网站安全 - 自关注热度:25

近日碰带一个脱裤的环境：asp+mssql的环境，网站数据库分离的想脱所有库里的内容尝试多种脱裤的脚本，都有点差强人意尝试ssql.asp 虽然也行但是库内容比较大，脚本每次执行的有大小..[详情]

MagicMail迈捷邮件系统XSS及绝对路径漏洞 - 网站安关注热度:13

今天上午在黑盒测试本地的教育网的时候发现的一个邮件系统漏洞包含 一个反射性XSS 以及 绝对路径泄漏看了看 貌似全部是linux的。关键字：迈捷邮件系统 by MagicMail可以看到很多政府网..[详情]

网站安全实践：对预防SQL注入的几点建议 - 网站关注热度:7

当你打开百度新闻搜索黑客关键字时能看到什么?没错，有太多知名的网站被黑客攻破，有太多牛X的IT系统对黑客来说如入无人之境进入WEB2.0时代，我们的IT当真变得如此脆弱了吗?记得在..[详情]

ASP.NET下XSS跨站脚本攻击的过滤方法 - 网站安全关注热度:13

做 WEB 开发当然要防止跨站脚本攻击了，尤其是开发BLOG、论坛、购物平台等可以让用户添加自定义内容的网站。有些开发者选择了将所有Html内容都过滤掉，但是这些不适合有些需要将自..[详情]

DB权限暴出物理路径 - 网站安全 - 自学php关注热度:14

1、drop table [jm_tmp];create table [jm_tmp](value navrchar(4000) null,data nvarchar(4000) null)ndash; 创建表 2、 delete [jm_tmp];insert [jm_tmp] exec master.dbo.xp_regread rsq.....[详情]

百度开放平台oauth授权接口可以劫持access_token -关注热度:16

Oauth2.0相比较Oauth1.0步骤简化，通过HTTPS和限制回调地址来提高安全性。但是各互联网公司的业务在对Oauth2.0的实现上并没有完全按照Oauth2.0的标准来做。所以就会有一些问题存在。比如对..[详情]

去哪儿一处存储型XSS漏洞 - 网站安全 - 自学php关注热度:8

在旅途频道，1、发表一篇游记2、添加一批图片3、在图片下方插入文本4、截包修改，desc参数存在问题。如下：GET /mobile_ugc/web/editMiniPic.htm?picId=80371desc=scriptif(location.hash!%3D)alert(locat.....[详情]

网易博客一处存储型跨站 - 网站安全 - 自学php关注热度:13

网易博客，博客设置，个人经历那里，未对用户输入的信息过滤，导致xss。由于博客提供可将此信息显示在首页的功能，放大了漏洞的影响效果，只要点击到对方博客首页，就会被跨。..[详情]

dedeCMS留言权限绕过导致跨站攻击及修复 - 网站安关注热度:17

dedeCMS某处由于权限绕过可导致跨站脚本攻击首先是/plus/guestbook.phpaction=admin然后来到/guestbook/edit.inc.phpelse if($job==#39;editok#39;)//这里没有判断$g_isadmin{$remsg = trim($remsg);略$dsq.....[详情]