后台登陆入口本地构造实例 - 网站安全 - 自学p关注热度:14

今天加拿大中部时间早上不知道几点，交流群里发了一个网站。说找到了用户名密码，但是找不到后台。大家找了一下后台，结果登陆不了。最后判断，管理员的登陆入口被删，普通账..[详情]

php爆路径方法 - 网站安全 - 自学php关注热度:26

1、单引号爆路径直接在URL后面加单引号，要求单引号没有被过滤(gpc=off)且服务器默认返回错误信息。www.2cto.com /news.php?id=149prime;2、错误参数值爆路径将要提交的参数值改成错误值，比如..[详情]

xss小集合 - 网站安全 - 自学php关注热度:29

360xss漏洞网站：http://dev.app.360.cn漏洞重现：http://dev.app.360.cn/seriesnum/api?appkey=02a051317dd721459824ecc8e6e77abfstatus=1product_id=Grsm_02is_real=0callback=%3Cscript%3Ealert%281%29%3.....[详情]

驴妈妈旅游网支付漏洞第二弹 - 网站安全 - 自学关注热度:31

这个支付漏洞，是积分商城的1、积分商城的兑换的商品时，未对商品数量做检查2、同时也没防篡改3、只检查了当前积分与兑换商品的积分，判断是否可兑换祭出调试工具：修改后的数..[详情]

WordPress最新版本(3.4.2)的一个CSRF漏洞 - 网站安全关注热度:12

在WordPress最新稳定版本3.4.2中，存在一个CSRF漏洞，如果管理员在登录博客的情况下，访问了包含下面内容的网页，将自动提交一个表单到目标博客，改变博客的RSS订阅链接，转向指定的..[详情]

在.net封装了以后sql防注入解决办法 - 网站安全关注热度:15

网站不小心中招了，在网上整理了一个简单的防注入方法，和大家分享web.config文件调用SqlInPost.cs 放到app_code 目录下：SqlInPost.csusing System;using System.Data;using System.Configuration;using .....[详情]

w78cms后台拿shell - 网站安全 - 自学php关注热度:15

国外的一个站，采用了w78cms程序，貌似这程序还挺少见，发现貌似给人搞过了，百度下前人经验，他们是这样说的:方法一：前提条件：对方未修改数据库的默认地址第一步：订购页面，..[详情]

通过HTTP参数污染绕过WAF拦截 - 网站安全 - 自学关注热度:18

译:pnig0s_小P上个星期我被邀请组队去参加一个由CSAW组织的CTF夺旗比赛.因为老婆孩子的缘故，我只能挑一个与Web漏洞利用相关的题目，名字叫做HorceForce.这道题价值300点。这道题大概的背..[详情]

爆个metinfo（米拓）5.0.4后台修改任意用户密码漏关注热度:20

上次爆了metinfo不少漏洞，官方动作很快，下午就升级了，其中前台修改任意用户密码，后来发现个后台也可以，跟前面那个一样，跟官方说了下，现在升级到5.0.4还没修补，那就爆出来..[详情]

凡客某分站任意文件上传 - 网站安全 - 自学php关注热度:24

凡客某分站任意文件上传详细说明：分站地址：http://seller.vancl.com/account/UserAccountview账户认证功能在上传那里上传，抓包，改包上传。。。成功。。POST /account/UploadIdImage HTTP/1.1Host: selle..[详情]

PHP魔术引号导致IE XSS Filter bypass - 网站安全 - 自学关注热度:17

在一些web容器中会对一些特殊字符做转换处理,这中间ie xss filter开发人员任何地方对它的了解有疏忽,都很可能导致bypass.在php中,如果开启了魔术引号特性(magic_quotes_gpc = On),则lsquo;(single-..[详情]

人人网XSS造成强力蠕虫，只要加好友一开人人就关注热度:16

人人网XSS造成强力蠕虫，这回不跨GG了，只要加我好友，一开人人就中招。这要是传播起来- -杠杠的。首先上图吧，最严重的两个这是在人人网个人首页中，还有一个是在人人逛街的首页..[详情]

金山游戏专题站sql注入 - 网站安全 - 自学php关注热度:17

注入点：http://zt.xoyo.com/jxsj/wldahui/index.php?zoneid=z01serverid=gate0104修复方案：过滤。..[详情]

xcar sql注射 - 网站安全 - 自学php关注热度:21

http://topic.xcar.com.cn/201208/story/?page=2t=66sn_id=1库名xcar_topic_users_jilu,蛮土洋结合的。修复方案：相信你们，要这个都不会修显然不用混了..[详情]

tipask 2.0问答系统升权漏洞利用 - 网站安全 - 自学关注热度:17

0x001 前沿Tipask问答系统是一款开放源码的PHP仿百度知道程序。以国人的使用习惯为设计理念，采用MVC构架，系统具有速度快，SEO友好，界面操作简洁明快等特点。0x002 漏洞一在control/qu..[详情]