263通信一处root用户的SQL注入 - 网站安全 - 自学关注热度:15

263通信帮助中心helpcenter.263.net存在一处SQL注入，用户是root，作为大站，可能造成严重信息泄露。用浏览器访问http://helpcenter.263.net//plus/search.php?keyword=astypeArr[111%3D@`\#39;`)+UnIon+seleC.....[详情]

快乐购劫持用户敏感信息可登录任意用户 - 网站关注热度:13

流程：诱使用户访问链接--获取用户敏感信息(不是你想的cookie)--登录用户账号，有视频有真相～～快乐购平台通过script引用方式获取用户acckey和uid，然后在各部分依靠这两个值进行登录..[详情]

绕过waf继续注入 - 网站安全 - 自学php关注热度:26

作者007 来自暗影团队 www.anying.org原文地址：http://www.anying.org/thread-53-1-1.htmlwaf过滤了 union selectfrom 等关键词1.列当前库所有表http://jyht.co.uk/career.php?id=11/**/and/**/1=2/**/%75.....[详情]

CosCms 1.721 - OS命令注入 - 网站安全 - 自学php关注热度:16

影响产品: CosCms开发者: http://www.coscms.org缺陷影响版本: 1.721 and probably prior已测试版本: 1.721分析：High-Tech Bridge Security Research Lab discovered vulnerability in CosCms, .....[详情]

Qool CMS v2.0 RC2多个缺陷 - 网站安全 - 自学php关注热度:14

#65279;!--Qool CMS v2.0 RC2 XSRF Add Root Exploit开发者: Qool CMS官网: http://www.qool.gr影响产品: 2.0 RC2 (Codename: Sommige)摘要介绍: Qool CMS is a content management syst.....[详情]

若干flash xss漏洞分析 - 网站安全 - 自学php关注热度:18

漏洞一：Parameters.getInstance().data = loaderInfo.parameters;public function get onPlayStart():String{return (_data[onPlayStart]);}ExternalInterface.call(Parameters.getInstance().onPlaySt.....[详情]

腾讯QQ邮箱反射型XSS漏洞 - 网站安全 - 自学php关注热度:18

一、貌似以前有人反映过了，出现在QQ邮箱正文超级链接编辑器中，属于反射型xss，很鸡肋。我只是看到TSRC平台推出了礼品兑换平台，来凑凑热闹。菜鸟级，希望能够鼓励一下~二、测试..[详情]

解决Win下MySQL root导出Webshell换行符问题 - 网站安关注热度:18

今天碰到了这么个问题，简单记录一下我的解决方案。首先说一下服务器的环境。服务器的80端口按照标准的虚拟主机来配置的，支持asp,aspx,php，但是不支持php安装了mssql(1433端口),tomca..[详情]

百度某分站程序逻辑问题，导致dos攻击 - 网站安关注热度:14

http://tcfile.baidu.com/index.php?url=url这个url设计的本意是给手机用户提供一个访问电脑上才能流量的网页的接口。但是这个页面在获取url对应内容时,存在一处问题，配合上php脚本执行超时时..[详情]

爱爱医某分站任意文件上传 - 网站安全 - 自学关注热度:11

爱爱医某分站任意文件上传,对上传文件类型限制不严谨.?phperror_reporting(E_ALL);/*require_once #39;./include/common.inc.php#39;;if(!in_array($groupid,array(1,2,40,44,36,33,45,30,27,3))) { sho.....[详情]

Remote File Manager v1.2 iOS多个缺陷 - 网站安全 - 自学关注热度:12

标题：Remote File Manager v1.2 iOS - Multiple Web Vulnerabilities缺陷影响系统6.1介绍:=============Catch documents from PC or Mac via USB cable or WIFI, email attachments, Drop.....[详情]

部分Discuz!论坛用户可以任意刷积分 - 网站安全关注热度:19

对于有些Discuz!论坛对推广访问这个地方不重视从而可以使用户能够任意的刷论坛的用户积分和等级先点击推广访问可以看到这个界面如果您的朋友通过下面任意一个链接访问站点，您将..[详情]

新浪SAE存储XSS（js可直接攻击后台） - 网站安全关注热度:17

日志中心未对日志请求的URL进行过滤，导致XSS，具体见漏洞证明。1.请求SAE应用2.打开应用日志中心3.看页面源码修复方案：过滤.....[详情]

一次手工渗透突破安全狗防御+ACCESS偏移注入 - 网关注热度:16

打开网站，一个企业站。顺手加个admin默认后台。回到首页点开个产点连接在参数后面加上：and 1=1,发现有狗。所以就不用御剑扫了，待会直接封IP。用order by语句判断是否存在注入。ht..[详情]

友情检测搜狗拼音 - 网站安全 - 自学php关注热度:19

今天在看《终极一班2》的时候，团队成员I突然发了个搜狗的xss过来，不是搜狗拼音的、我就看了下，来了兴趣，我本来就没在杭州，没工具，什么都没，就找I要了关键字，我们就一起..[详情]