Flash应用安全系列[3]--WordPress反射型跨站(0day) -关注热度:18

WordPress3.5某处Flash应用存在漏洞，可能导致跨站脚本攻击。当一个已经登录后台的会话访问某一特定网页时，攻击者精心构造的payload可以在后台添加一个同等权限的用户，并写入Shell（如..[详情]

乐视网xss可以获取身份信息CSRF也可以拿他人账号关注热度:13

一个CSRF的另类应用1.首先登入乐视网，进入个人设置页面：2.看到目前已经绑定了相关的QQ邮箱，点击更换我的邮箱：3.设置好需要更换的邮箱后，点击发送，这是抓包将请求拦截，原来..[详情]

网易手机邮箱任意密码重置强行绑定 - 网站安全关注热度:15

一直在关注移动终端的安全.各大企业的APP成了我关注的对象.非常喜欢网易的有道云笔记.于是对其IOS客户端进行了一次测试.发现了一个可以重置密码并且强行解绑手机邮箱的接口.有道云..[详情]

新浪微博还一处非常严重的CSRF刷粉丝 - 网站安全关注热度:12

1.加关注的接口POST变GET；2.不只是刷粉丝呢，xss可以偷身份，csrf同样可以的！1.是这个站点撒：http://caipiao.weibo.com,先登录，将信息填好撒！2.加关注的接口本来是一个POST请求的，结果我..[详情]

新浪微博两处CSRF刷粉丝 - 网站安全 - 自学php关注热度:17

微博加关注的接口要管理好啊，新浪的同学！没有对referer验证，没有加token导致登录新浪微博社会招聘：http://hr.weibo.com/jobs/index.php访问如下poc页面htmlbodyform id=fxx name=fxx action=ht.....[详情]

相宜本草商城妹子信息泄漏&支付漏洞 - 网站关注热度:15

1：支付过程中没有对num进行验证，导致可以负数2：修改收货地址没有绑定session或cookie进行查询，导致妹子电话、地址等信息泄漏（貌似有5W多条记录）没有深挖，应该还有洞！妹纸信息..[详情]

PHP常见漏洞代码分析 - 网站安全 - 自学php关注热度:14

开场白：PHP，是英文超文本预处理语言Hypertext Preprocessor的缩写。PHP 是一种 HTML内嵌式的语言，是一种在服务器端执行的嵌入HTML文档的脚本语言，语言的风格有类似于C语言，而且PHP独特..[详情]

网趣购物系统登陆任意账户Bug(除后台管理外)关注热度:13

碰到很多asp的购物站都是网趣内核改的，但无一列外的都存在这个漏洞，包括最新最旧版的网趣，比较鸡肋，没法获得webshell。但是危害还是比较大的，可以登陆和修改任意一个用户的密..[详情]

渗透东方神起官网纪实 - 网站安全 - 自学php关注热度:11

写这篇文章只是提供一个思路，不含其他任何装逼成分~东方神起中文网:www.tvxqlover.com话说某天好基友神经错位突然想给东方神起挂上页面，以悼念昔日被甩之情。。。于是丫就自己先去..[详情]

浅谈CSRF原理 - 网站安全 - 自学php关注热度:17

今年来根据乌云站点的资料，XSS漏洞在WEB前端的比额已经非常明显，而CSRF的危害又有多少人关心呢？最近也在看XSS的相关资料，但是看到CSRF的时候还是忍不住好好的看了一下有关资料，..[详情]

使用CSRF攻击破解WPA密码 - 网站安全 - 自学php关注热度:16

在过去的一年中，在不同家用路由器上发现很多的漏洞。在这里应该指出的是，几乎所有的SOHO路由器容易受到CSRF的攻击。通过认证绕过漏洞或者默认登录，攻击者可以修改路由器的任何..[详情]

XSS实例教学(YY游戏直播) - 网站安全 - 自学php关注热度:24

这是YY游戏直播的一个XSS，上报过，只是说没啥危害（反射型XSS，好像多数都没啥实际危害），所有俺也就来这里给写写为啥它能弹框框。说是教学，其实俺还没达到能教别人的境界，只..[详情]

腾讯大讲堂投票CSRF - 网站安全 - 自学php关注热度:13

腾讯大讲堂创月版，登录后进行投票，未做csrf的检查，虽然使用post，但同样支持get。同时，对referer未做足够的检测。1：通过个人中心，借助群聊下手2：大讲堂好友比较少，效果很鸡肋..[详情]

视频：PhpcmsV9 任意用户密码修改逻辑漏洞 - 网站关注热度:14

由于某处的实现机制没有考虑到某个条件，导致了一个任意用户密码重置漏洞。建议漏洞危害设置为高。其实我在发第一个漏洞的时候，就看到了PhpcmsV9 SQL注射 2013年贺岁第一发提到的通..[详情]

glFusion 1.2.2 多个xss缺陷及修复 - 网站安全 - 自学关注热度:11

影响产品： glFusion开发者: http://www.glfusion.org/缺陷影响版本: 1.2.2 and probably prior已测试版本: 1.2.2Advisory Details:High-Tech Bridge Security Research Lab discovered multiple .....[详情]