驴妈妈旅游网任意找回其他用户密码缺陷及修复关注热度:11

该网站找回密码链接随机字段过于简单，可通过扫描得到其他用户找回密码的链接并修改该用户的密码，而后可直接登陆该用户账户。找回密码随机字段过于简单通过扫描以下得到的字..[详情]

Douban反射型跨站 - 网站安全 - 自学php关注热度:20

http://guangzhou.douban.com/可能会窃取或操纵客户会话和 cookie，它们可能用于模仿合法用户，从而使黑客能够以该用户身份查看或变更用户记录以及执行事务view-source:http://beijing.douban.com/?#3..[详情]

过滤XSS攻击的函数 - 网站安全 - 自学php关注热度:21

XSS攻击在最近很是流行，往往在某段代码里一不小心就会被人放上XSS攻击的代码，看到国外有人写上了函数，咱也偷偷懒，悄悄的贴上来。。。原文如下：The goal of this function is to be a..[详情]

77怒汉，77个XSS用例总结 - 网站安全 - 自学php关注热度:11

看到某网站发了个XSS的总结，居然是图片版本的，有个啥用，晕死，翻了下原帖，T00Ls上面那个也是转载来的，找不到出处了，欢迎作者来认领。(1)普通的XSS JavaScript注入SCRIPT SRC=http://..[详情]

科普：小议OAuth 2.0认证缺陷 - 网站安全 - 自学关注热度:9

一、前言半个月前， @Tater 发了一个《透过[新浪微博]官方来源调用API发表微博.无需client_sec》，但是对于其中涉及的OAuth 2.0的缺陷语焉不详。这几天趁着另一个项目的迁移机会对其它国..[详情]

突破安全狗的一些记录 - 网站安全 - 自学php关注热度:15

1、绕过IIS安全狗的一句话。前几天测试一个网站。找到突破口之后，写入webshell，但服务器上装有IIS安全狗，平时常用的一句话或者shell都用不了。下面这段.net一句话可以突破。%@ Page..[详情]

小米某分站对参数过滤不严，可以导致XSS - 网站关注热度:13

没有过滤单双引号和html标签，只是简单的把#39;/#39;或者#39;\#39;之后的字符串全部替换为空。插入的目标区域在一个img里面，首先可以用各种on事件X掉，也可以写一个script src=，都无压力..[详情]

手机feedback xss盲打金山词霸UED中心 - 网站安全关注热度:13

跨到后台的入口点杀气认为一般存在于用户投诉、反馈，意见提交，简历提交，客服系统等中，多数情况下我们还是把眼光放在了PC端上，这次我通过移动终端应用调用feedback功能xss盲打..[详情]

一号店地址簿存储型跨站 - 网站安全 - 自学php关注热度:11

一号店地址簿功能存在存储型跨站。1.收件人字段通过webscarab修改post请求，绕过字符数限制，可实现跨站。2.收件人地址可直接在输入框输入跨站代码，实现跨站。个人设置功能中的多个..[详情]

红袖添香小说网SQL注射 - 网站安全 - 自学php关注热度:11

1.测试注入点:http://www.hongxiu.com/novel/novel.asp?aid=77902.哈哈，有个小插曲，貌似我测试的时候被管理员发现了，构造一条测试语句，就被封一条~_~修复方案：过滤~..[详情]

一次流汗渗透 - 网站安全 - 自学php关注热度:10

为什么说是流汗渗透呢？因为40度的高温下！当然要流汗了文章有什么不好之处 请给意见！毕竟我也是菜B 没有你们的指点 哪来的技术提高？首先域名www.2cto.com丢进WVS，御剑，pker.wwwsc..[详情]

kesioncms7.0最新版本任意下载漏洞 - 网站安全 - 自关注热度:12

版本：90sec说明：请用于漏洞安全测试，请勿非法利用修复方案：我想官方会懂的漏洞检测方法：先注册个用户登陆，然后访问http://www.xxx.net/user/Contributor.asp 可以看到几个可以投稿的分..[详情]

快乐购物网短信无验证致轰炸漏洞 - 网站安全关注热度:16

可以利用本漏洞实现手机短信攻击，无验证，无限制发送.详细说明：已经发给自己好几十条了...可以一直发...HtmltitleMESSAG Test/titlebody form action=http://m.happigo.com/minisite/index.php .....[详情]

360Shop网店系统多个漏洞(含getshell) - 网站安全 -关注热度:20

360Shop网店系统多个漏洞，部分漏洞可getshell。详细说明：官网：http://www.360shop.com.cn测试基于360Shop最新版本V3.0使用这套系统的有独立的站点，如http://www.iplaybox.nethttp://www.lpxxw.net也有托管..[详情]

齐博cms整站系统(原PHP168)配置不当致任意用户登陆关注热度:14

齐博cms整站系统（原PHP168）配置不当导致任意用户登陆，比如cms管理员等。详细说明：还是由于UC_CENTER的问题，之前闹过UC_KEY变量为空时可以调用UC_CENTER中的相关用户API直接进行操作，..[详情]