Bluecms 0day大集合 - 网站安全 - 自学php关注热度:13

author：西毒来自:http://hi.baidu.com/sethc5/blog采集俺的MJJ0x01.注入client_ip伪造注入看代码吧，这里的getip函数是获取Ip的，由于，client_ip和x_forwarded_for都可以伪造。在include/common.fun.php的106行...[详情]

对一wp主题出售站的检测 - 网站安全 - 自学php关注热度:16

首先看一下旁站有一个LANMP，是个初始页面试一下他提供的默认账号密码，没有成功，既然有探针和phpinfo那就先收集一下信息。了解了基本情况我就瞄准了一个DEDECMS。5.7的，可能有注入..[详情]

记一次win2003垃圾提权 - 网站安全 - 自学php关注热度:12

此篇文章无技术，都是表面的东西。仅提供思路。以下由谷歌翻译而来，根本人无任何关系。进来很多的菜鸟朋友问我，有没有提权的教程。要那种什么秒杀的教程。网上没有的教程。..[详情]

关于转换URL编码的注入的一点总结 - 网站安全关注热度:10

记得以前在看文章的时候说，有的时候 改变一下URL编码就可以绕过一些防住入的代码。实现注入。 今天抽时间 把url编码从新学习了一下,做个简单的笔记吧。 首先百度一下：URL编码的介..[详情]

使用PHP构建的Web应用如何避免XSS攻击 - 网站安全关注热度:22

使用PHP 构建的Web 应用如何避免XSS 攻击Web 2.0 的发展为网络用户的互动提供了更多机会。用户通过在论坛发表评论，或是在博客发表留言都可能有意或无意输入一些破坏性的内容，从而造..[详情]

网易任意文件删除 - 网站安全 - 自学php关注热度:9

漏洞地址：https://mima.163.com/nie/ts_game_upload_remove.aspx?again=ran=../nie/images/ts/id=topImg.jpg想删哪个换目录即可。。测试时删除了2个文件，已备份。Validator_nV2.jsString.prototype.trim = .....[详情]

小米账户XSS 可获取私密资料 - 网站安全 - 自学关注热度:17

现在不是很流行一种功能叫摇摇手机分享联系人吗？故事从这里开始；情景假设：A：嘿，MAN，你也用小米手机？B：当然了，小米手机杠杠的！A：我最近拿到了XX门主角的电话哦！看在朋..[详情]

my.2345.com注射漏洞 - 网站安全 - 自学php关注热度:11

http://my.2345.com/notebook/my_jsb.php?showType=itemp=1tim=1342313941sort=2%20and%201=2%20union%20select%201,2,user%28%29,version%28%29,5,database%28%29,7,8-- 修复方案：过滤..[详情]

网易某系统未授权访问致内网被渗透（续） - 网关注热度:14

好吧，想用上个报告的漏洞的一些测试机看下到底能渗透到哪。于是有了网易内部各种系统，各种服务器，各种漏洞......详细说明：接着上文：http://www.2cto.com/Article/201208/151524.html 进行测..[详情]

PHP.S3.TO上传漏洞利用 - 网站安全 - 自学php关注热度:13

这个网页漏洞比较严重，可以直接获取shell，下面给出漏洞利用方法漏洞信息：可以任意上传PHP，TXT，JPG，PNG格式文件change your shell to sh3ll.php.jpg or sh3ll.php%0%0.1.jpg利用:www.2cto.com /[dir.....[详情]

网易某系统未授权访问致内网被渗透 - 网站安全关注热度:13

网易某系统未授权访问，导致可访问部分内部系统，或可渗透至内网。测试从这里开始，http://123.125.50.162:3000。系统是Jenkins（软件测试），没有设置登录验证。在设置邮箱处，破解了邮..[详情]

百度文库及某论坛的存储XSS - 网站安全 - 自学关注热度:8

http://wk.baidu.com/view/65604a8ad0d233d4b14e69f3?st=3pu=pw@4500lp,tpl@playApi返回内容未处理修复方案：大牛门。。。作者 aomm百度某论坛存储型xss漏洞http://bbs.shouji.baidu.com/forum.php?mod=image.....[详情]

178游戏网分站越权访问和注射漏洞 - 网站安全关注热度:13

通过组合关键字0.0,找到了后台(原本打算找注入点的).1.越权访问2.附带注入漏洞谷歌搜索site:flash.178.com inurl:php?id=然后随便点击一个.进去了http://flash.178.com/xiaoyouxi/questionGame_admin/question...[详情]

CSRF攻击案例分析报告 - 网站安全 - 自学php关注热度:11

www.2cto.com：日志宝网站的宣传性文章，大家可以参考技术内容近日，某站长在使用日志宝分析日志时发现，一些可疑IP地址会定期对网站第三方接口产生大量访问，影响了网站正常业务的..[详情]

CMSeasy后台拿shell - 网站安全 - 自学php关注热度:64

www.2cto.com：可以参考本文，cmseasy xss+后台getshell看图操作：找到这里替换里面的代码,记得先复制一下,等做完给人家恢复回去点保存,链接地址http://www.xxxx.com/index.php本文章由Web MuksHcmd Te..[详情]