乐兔购网店商城最新版本程序存在SQL注入 - 网站关注热度:13

通过注入可以获得管理员账号密码 拿到权限..[详情]

人人网xss偷管理员cookie+csrf - 网站安全 - 自学ph关注热度:29

人人某站存在xss，跟csrf，管理员审核相关信息时候触发。人人广告系统注册中没有相关过滤，插入脚本提交后需要人工去审核。后期发现这个xss是可以弹的，说明在管理员查看界面也是..[详情]

软酷网任意文件上传漏洞及修复 - 网站安全 - 自关注热度:21

软酷网任意文件上传漏洞，可以导致上传shell，并导致服务区沦陷服务器安全配置也存在很大问题，直接是root权限上传时只是通过js控制了上传的类型，服务端并没有对文件扩展名进行控..[详情]

PHP 5.3.4(WIN) COM_SINK权限提升漏洞 - 网站安全 - 自关注热度:13

PHP最新版已经更新至5.4.x，不过中国大陆尚处于在5.2.x和5.3.x更替的阶段。存在漏洞的php存在于5.3.x版本中测试方法如下：cmd /c x:\php\php.exe x:\test.php下载php程序至本地，然后使用php.exe解析..[详情]

FCK上传绕过安全狗一则经验谈 - 网站安全 - 自学关注热度:15

安全狗真的是个很垃圾的程序，作为一个安全防护软件，安全狗不安全。这句话就是我说的，一个技术团队的产品是和这个团队的技术实力直接挂钩的。这个地址来自一个QQ上面的好友，..[详情]

XSS检测客户端环境，javascript 检测客户端文件、系关注热度:20

XSS检测客户端环境，javascript 检测客户端文件、系统环境。xss后续利用中，可能需要检测客户端环境，比如浏览器版本，是否安装360、杀毒软件、java版本、某些系统文件等可以利用java..[详情]

获取webshell到内网渗透一条龙 - 网站安全 - 自学关注热度:15

其实相比起我这个文章来说，我觉得题目更霸气。呵呵。闲话少说，咱们开始今天的文章首先呢我的目标站是一个小型的工作室公司。比较小。网站是aspcms的asp有一个比较二蛋的漏洞，..[详情]

Metinfo 代码审计 - 网站安全 - 自学php关注热度:21

0x01前沿MetInfo企业网站管理系统：采用PHP+Mysql架构，全站内置了SEO搜索引擎优化机制，支持用户自定义界面语言(全球各种语言)，拥有企业网站常用的模块功能（企业简介模块、新闻模块..[详情]

站长之家存储型xss(一种新思路) - 网站安全 - 自关注热度:12

这是一类网站。详细说明：现在有很多网站信息查询，seo优化，网站安全检测之类的网站，这些网站通常会抓取网页的meta信息。这样如果用户的meta是恶意代码，就会出现问题。站长之家..[详情]

Spring MVC防御CSRF和XSS - 网站安全 - 自学php关注热度:14

本文说一下SpringMVC如何防御CSRF(Cross-site request forgery跨站请求伪造)和XSS(Cross site script跨站脚本攻击)。说说CSRF对CSRF来说，其实Spring3.1、ASP.NET MVC3、Rails、Django等都已经支持自动在涉.....[详情]

CSRF攻击原理以及nodejs的实现和防御 - 网站安全关注热度:16

一、简介 CSRF (Cross-site Request Forgery)，中文名称：跨站伪造。危害是攻击者可以盗用你的身份，以你的名义发送恶意请求。比如可以盗取你的账号，以你的身份发送邮件，购买商品等。..[详情]

Anti CSRF - 网站安全 - 自学php关注热度:15

CRSF protection middleware.By default this middleware generates a token named _csrfwhich should be added to requests which mutatestate, within a hidden form field, query-s.....[详情]

盲打新浪某应用管理小PP - 网站安全 - 自学php关注热度:8

某应用存在xss，而且成功盲打管理小PP1.火腿肠安装新浪天气客户端：2.点击【设置】-【意见反馈】：3.插入xss代码：4.等待5.盲打成功：6.登入后台：修复方案：礼物..[详情]

金山某数据库服务器沦陷 - 网站安全 - 自学php关注热度:13

本来是xss盲打pps后台的，人生最尴尬的事情就是盲打成功而后台却在内网，于是很气愤的找了同C段的机器搞搞，一不小心搞到金山的一台服务器。话说我什么都没干啊，只是来求个礼物..[详情]

鲜果网某处CSRF漏洞可蔓延蠕虫 - 网站安全 - 自学关注热度:14

鲜果网某处CSRF漏洞，可能导致蠕虫蔓延，在未经用户同意的情况下发布文字、加关注等等！详细说明：在接受POST和GET的信息的时候，未对POST来路(Referer)进行验证，同时也没有在POST的信..[详情]