100e 多处包括订单处理处的XSS - 网站安全 - 自学关注热度:9

100e 有几处XSS（到后台订单处理了。。。） 影响所有用户 尤其是订单管理员有一个是在订单中生成，形成储存式XSS，问一问订单处理人员，应该看到过一个奇怪的弹窗：）http://www.ls10..[详情]

anwsion后台一个设置缺陷及修复 - 网站安全 - 自学关注热度:21

程序在后台设置没有HASH来限制CSRF的防御,故导致一些可能出现的危害http://127.0.0.1:8080/wenda/?/admin/setting/sys_save_ajax/site_announce=scriptalert(document.cookie)/scripturl_rewrite_enable=N.....[详情]

6间房(6.cn)XSS反射型漏洞 - 网站安全 - 自学php关注热度:13

Author：H3artData：Jan 16，2013漏洞页面：http://v.6.cn/search.php?keytype=现在type后面随便填写一个，然后再查看源码。http://v.6.cn/search.php?keytype=xssa rel=nofollow id=itoPlay target=.....[详情]

深入理解JavaScript Hijacking原理 - 网站安全 - 自学关注热度:9

最近在整理关于JavaScript代码安全方面的资料，在查关于JavaScript Hijacking的资料时，发现关于它的中文资料很少，故特意整理一下。一.JavaScript Hijacking原理 其实JavaScript Hijacking和CSRF攻击的..[详情]

友言网一处SQL注入漏洞+管理员弱口令 - 网站安全关注热度:26

帮一个朋友检测网站时，顺手发现了友言的漏洞：从友言拿到代码，安装，然后访问博客，上NETWORK，可以看到一条这样的网络请求http://api.uyan.cc/?url=xxxxtitle=xxxdu=pic=vid=tag=uid=XXXacl=su=XXX..[详情]

anwsion通杀反射XSS - 网站安全 - 自学php关注热度:15

anwsion通杀反射XSS缺陷一枚http://www.3hack.com/?/account/register/email-435420828%40qq.com%22%3E%3Cscript%3Ealert%28document.cookie%29%3C/script%3E%22%3Chttp://wenda.anwsion.com/account/register/e.....[详情]

某宽频影视网高权限SQL注射漏洞及修复 - 网站安关注热度:8

国内领先的宽频影视网：中录宽频分站云视界多处ROOT注射点。其中之一：http://cloud.zlvod.com/index.php?r=detailid=24009 进入云管理后台可上传任意文件。可连接多台数据库IP。（注：未修改任何..[详情]

URI中有关@符号的一些猥琐idea - 网站安全 - 自学关注热度:6

@在URI中是个奇特的字符,在URI中用于分隔userinfo与host.使用@符hack的优点:1.在host前面.2.大多数情况不影响访问逻辑.3.有两个可控部分:username,password.1.正常含有userinfo的URI:http://username@mmme.m..[详情]

浅谈PHP投票系统如何防刷票 - 网站安全 - 自学p关注热度:21

生活中，不少人都会遇到需要投票。但往往投票的地方也是薄弱的，可能对投票来源没有验证的话，将会导致刷票，严重的话还会导致网站沦陷。下面这篇文章就是讲如何防刷票，虽然..[详情]

wordpress网站安全之install.php - 网站安全 - 自学p关注热度:14

用wordpress建立网站后，程序会在网站管理目录web/wp-admin/下遗留一个叫做install.php的文件。这个文件是安装程序中的支持文件，只在安装时会调用，当程序释放后就失去了作用，删除并不..[详情]

记一次成功的SQL注入入侵检测附带SQL性能优化关注热度:5

很多同学和园友都遇到过sql注入的，其中大部分都是代码的不严谨造成的，都是犯过很多错误才学会认真起来。但是如果是让你接手一个二等残废的网站，并让你在上面改版，而且不能..[详情]

参数化查询为什么能够防止SQL注入 - 网站安全关注热度:13

很多人都知道SQL注入，也知道SQL参数化查询可以防止SQL注入，可为什么能防止注入却并不是很多人都知道的。本文主要讲述的是这个问题，也许你在部分文章中看到过这块内容，当然了..[详情]

OTCMS拿shell - 网站安全 - 自学php关注热度:10

我就下载那套源码,然后就开始本地测试...不废话了，开始介绍.它只是提供出了后台链接，果断的弱口令测试.Admin admin 进不去。看到vipaxiao这个链接，手贱测试。Admin vipaxiao进去了...进去..[详情]

Python Pickle反序列化带来的安全问题 - 网站安全关注热度:13

数据序列化，这是个很常见的应用场景，通常被广泛应用在数据结构网络传输，session存储，cache存储，或者配置文件上传，参数接收等接口处。主要作用是为了能够让数据在存储或者传..[详情]

乐语在线客服系统聊天逻辑缺陷 - 网站安全 - 自关注热度:8

对用户输入，没有过滤html代码，导致可以xss。该漏洞，用户可以构造任意html代码，均被执行。测试代码：img width=200px height=200px src=# onerror=alert(document.cookie)修复方案：对用户输入.....[详情]