51CTO存储型XSS&CSRF - 网站安全 - 自学php关注热度:16

XSS:51CTO圈子主页再次XSS上次我发的是自定义模块标题处 这次是内容处``(居然不自己排查下其他地方)看图html代码成功注入CSRF:在个人信息各处 除了修改邮箱地址和密码 其他均可用CSRF攻击..[详情]

53kf的一个xss盲打后台 - 网站安全 - 自学php关注热度:17

进入www.53kf.com的网站找到类似于http://www.53kf.com/products/xxxxx.html我事先注册了一个账号 然后再产品页的最下方点击回复，看图片接着看图片接着看受害者的用户，因为太多人了，不知道哪..[详情]

游天下可暴力重置密码 - 网站安全 - 自学php关注热度:18

游天下可暴力重置密码，只要知道手机号即可，刷分的漏洞，但也是漏洞，厂商其实可以多多关注wooyun，相同功能的漏洞都差不多先截个图，这个报错不知道为什么手机找回密码然后截..[详情]

译言网CSRF账户劫持漏洞 - 网站安全 - 自学php关注热度:18

由于网页表单验证不严格，导致可以提交恶意用户信息，网站用户面板中有一个功能是更换用户邮箱，这个表单可以被恶意提交不属于当前用户的邮件地址。详细说明：htmlH2CSRF Exploit..[详情]

Nginx防范Sql注入攻击方法总结 - 网站安全 - 自学关注热度:13

本文章从最简单的Nginx防范Sql注入攻击,到后面对文件安全防止攻击的配置实现，有需要的朋友可参考一下。通过union all 联合查询获取其他表的内容（如user表的用户密码）基本sql注入原理..[详情]

360网站安全检测中HTTP响应拆分漏洞的修复方法关注热度:18

360网站安全检测说实话真不咋滴，但是吧，检测一些不痛不痒的问题，但是鉴于某种种情况，面对问题还是要修复。360网站安全检测中有个HTTP响应拆分漏洞。描述：HTTP响应拆分漏洞，也..[详情]

记一次发现利用preg_replace隐藏后门和后续探究关注热度:21

php后门有很多，包子也见多了和玩多了，但是在一次帮助朋友检查服务器的时候，竟然发现这样的恶意代码。事情是这样的，朋友的网站的利用各种查找后门的工具都没有发现php木马。..[详情]

thinkphp框架下mysql注入 - 网站安全 - 自学php关注热度:28

Wamp环境，用thinkphp框架制作，手工检测发现一个注入点。/content/117 xand 1=2 union select @@datadir,2,3,4,5,6x这个注入点同时还是一个反射型xss，id值被写入到了内联js里。接着提交and 1=2 union .....[详情]

ASP的SQL防注入新方法,不用监测注入字符 - 网站安关注热度:14

原理很简单,数据库字符类型就只有几种。我们常用的就是数值,和字符串,还有时间。我们一般用到查询的为数值,和字符串。字符串查询格式为 where 字段=#39;查询条件#39; 这里无法注入,因..[详情]

Moodle 1.9-2.4版本多个漏洞及补丁 - 网站安全 - 自学关注热度:17

受影响系统：Moodle Moodle 2.4.xMoodle Moodle 2.3.xMoodle Moodle 2.2.xMoodle Moodle 2.1.xMoodle Moodle 1.9.x描述：-------------------------------------------------------------------------.....[详情]

WordPress Pingback内网扫描和DDOS漏洞及修复 - 网站安关注热度:17

受影响系统：WordPress pingbacks = 3.5Pingback 是三种类型的反向链接中的一种，当有人链接或者盗用作者文章时来通知作者的一种方法。可以让作者了解和跟踪文章被链接或被转载的情况。一..[详情]

j2ee应用异常信息处理不当 可能导致的安全问题：关注热度:11

Java异常处理机制（Exception）简要说明：Java中它是由Trowable类的两个子类的两大部分组成，Error类和Exception类。Error是不推荐捕获的（请查看Java异常处理机制中Error与Exception的区别），而..[详情]

看哥是怎么突破安全狗和360网站卫士的 - 网站安关注热度:14

进来蛋疼 肾是疼 可能是测试娃娃测试的太多了。前几天朋友让我帮他检测下他的网站安全性，网站发来一看。哇靠，又是安全狗，又是360网站卫士，这可怎好。首先是找到一个可以填写..[详情]

搜狗我最喜爱的网站评选任意刷票 - 网站安全关注热度:9

搜狗举办的我最喜爱的网站评选活动判断不严谨，存在任意刷票漏洞详细说明：用浏览器投票只能投一次。但是修改cookie当中的ssuv参数后可以多投几次。但是投几次后还是提示已经投过..[详情]

9158.com配置失误致2处关键位置XSS - 网站安全 - 自关注热度:14

一上来发现my.9158.com（账户应用服务器）出现个XSShttp://my.9158.com/login_pass.aspx?go=%22%20onmouseover%3dprompt%28947212%29%20bad%3d%22反射式的有且只有这一处（任意位置动动鼠标就出现啦）反射式的只..[详情]