海尔集团任意用户密码重置漏洞详谈，非暴力破关注热度:12

海尔集团任意用户密码重置漏洞，还是个非主流的。不用burp suite，不在暴力，只要温柔的一击，就可重置任意用户密码了。测试环境：攻击者：xfkxfk受害者：peterhang，admin这里先说一下..[详情]

云联游戏伪静态的SQL注入 - 网站安全 - 自学php关注热度:14

网站存在注入 可得到重要数据 进入bugfree 看到公司运营重要数据 等其他数据http://i.yxyun.com/whole/letter/b/p/1.html 直接用sqlmap工具http://i.yxyun.com/whole/letter/b*/p/1.html 注入修复方案：方.....[详情]

携程旅行网任意老板密码修改 - 网站安全 - 自学关注热度:24

携程的密码重置功能相当强大，支持用户名、手机号、邮箱帐号、卡号重置；换句话说，只要我们只要以上4种信息中的任意一种，便可使用该功能重置相应用户的密码。那么且看我是如..[详情]

记一次绕过简单SQL防注入爆菊 - 网站安全 - 自学关注热度:13

目标站用www.cnseay.com代替。打开网站，点开一个产品页面。在?id=62后面加单引号，如下图判断出参数id无单引号保护，且GPC开启，无单引号就好办多了。不过经测试，发现以下问题：1、常..[详情]

关于一些web漏洞原理粗浅认识 - 网站安全 - 自学关注热度:16

作者：LceL1sh @ www.anying.org其实一直想写这么一篇文章 但是总觉得很低端 在各个大神的眼里也许入不了法眼 但是还是决定要写出来自己的这些经验其实很多网站之所以存在漏洞的原因有..[详情]

iis7.5+fck解析漏洞拿站 - 网站安全 - 自学php关注热度:93

IIS6.0解析漏洞，可以上传a.asp;.jps或者a.asp;a.jpg或者a.asp目录下传任意格式小马，都会解析这次讲的是IIS7.5解析漏洞，http://www.2cto.com/ fckeditor/editor/fckeditor.html上传图片，浏览，上传一个a..[详情]

[终端安全] 一种猥琐的通用绕过某些终端系统沙关注热度:12

无关一二 余餐风饮露以揆天道兮，久已不闻世事，然于今日突而有感，偶得天成，随成一篇，亦有沾前人之旧泽，某山野之人，未敢言教，但抛砖以求美玉矣，恐有失偏颇之处，尝待大..[详情]

利用抓包免费用收费空间 - 网站安全 - 自学php关注热度:17

我们先在网站上注册一个号登陆上去点主机产品顺便点一个注册一个ftp 购买年限写10年的然后在打开打开Fiddler 抓包工具必须用ie浏览器才可以抓包按Fiddler f11 开始点虚拟主机自助开通确..[详情]

高德导航安全问题导致全线业务受影响 - 网站安关注热度:10

由于某安全问题导致全线业务受影响，用户资料泄露，修改官网app、地图下载地址，绑个马改个地址，应该挺爽的。能添加序列号删除序列号，不知道删掉后，用它注册的设备还能不能..[详情]

利用aspx构造注射来跨站 - 网站安全 - 自学php关注热度:16

昨天跟4z1看一个站点，提权很难提，看了整整5个小时，无果。 2008+iis7，无sa，无root，无各种服务。。。其实中用到了aspx构造注射来跨站，网上找了一堆代码，没一个能用的。代码量不..[详情]

360应用开放平台某文件参数未过滤致注入 - 网站关注热度:24

缺陷点如下：http://open.se.360.cn/static/js/patch.php?app_key=[注入点]测试如下：1. 1=1和1=2http://open.se.360.cn/static/js/patch.php?app_key=1#39;%20and%20(1=1)%20and%20#39;1#39;=#39;1http://.....[详情]

多玩英雄联盟盒子可绑定任意lol角色 - 网站安全关注热度:25

多玩英雄联盟盒子可绑定任意lol角色,可选择被绑定的YY号是多少以及可绑定任意数量lol角色,可强行绑定已经绑定过的角色.详细说明：说下简单思路.大神勿喷.最近打lol,突然发现多玩盒子..[详情]

好大夫重置任意用户 - 网站安全 - 自学php关注热度:10

1、通过手机号重置http://passport.haodf.com/user/resetpassword通过此网址，可用邮箱或手机号找回密码当我们选择手机号找密码时，网页跳转到如下地址，要求输入用户名和手机验证码http://pas..[详情]

Open-Xchange Server 6 - Multiple Vulnerabilities - 网站安全关注热度:16

Multiple security issues for Open-Xchange Server have been discovered and fixed. The vendor has chosen responsible full disclosure to publish security issue details. Users .....[详情]

Statement的sql注入问题 - 网站安全 - 自学php关注热度:13

SQL注入,PreparedStatement和Statement* 在SQL中包含特殊字符或SQL的关键字(如：#39; or 1 or #39;)时Statement将出现不可预料的结果（出现异常或查询的结果不正确），可用PreparedStatement来解决。* P....[详情]