Discuz X2后台getshell 鸡肋 - 网站安全 - 自学php关注热度:18

最近帮朋友看了一个站，DZx2的，拿到了创始人都没办法getshell百度无果，自己本地架设了一下1，当mysql是root时站长---数据库---升级尝试select #39;1#39; into outfile #39;E:\2.txt#39;会提示 [Typ.....[详情]

Web的脆弱性：各种注入、攻击 - 网站安全 - 自学关注热度:8

SQL注入所谓SQL注入，就是通过把SQL命令插入到Web表单递交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。通过一下的例子更形象的了解SQL注入：有一个L..[详情]

浅谈网站流量劫持防范措施 - 网站安全 - 自学p关注热度:18

前几天上网打开163首页时，发现页面底部莫名其妙的出现一个边框。这在以前可是未曾有过的，而且以后也绝不可能会有这么丑陋的设计。 趋于好奇心，立刻在边框上点了右键审查元素..[详情]

ECShop V2.7.3 GBK release1106注入0day及修复 - 网站安全关注热度:16

C0deplay Team j8g看代码/* 修改个人资料的处理 */elseif ($action == #39;act_edit_profile#39;){ include_once(ROOT_PATH . #39;includes/lib_transaction.php#39;); $birthday = trim.....[详情]

嘉缘人才网站内容管理系统遍历文件漏洞及修复关注热度:16

可以通过后台遍历服务器，任意删除，还可以通过得到的路径通过MYSQL导出木马。后台的图片管理等页面可以遍历整个服务器、通过代码我们可以看到 isset($dir) or $dir = #39;#39;;$dir=str_rep..[详情]

ICM9.0网站系统管理漏洞及修复 - 网站安全 - 自学关注热度:11

怎么说呢，这套系统主要应用于台湾地区，大陆很少用低级漏洞- -我都不想贴代码了修复方案：你懂得..[详情]

世纪佳缘存储型XSS获取管理cookie - 网站安全 - 自关注热度:16

由于客户调查处没有对输入的内容进行过滤，导致可以盲打后台。。庆幸的是，后台外部不允许访问。。。漏洞地址 http://www.jiayuan.com/webim/vote_pc.php详细看图吧。。据说世纪佳缘给发妹纸..[详情]

2345某分站sql注入漏洞及修复 - 网站安全 - 自学关注热度:11

http://tuan.2345.com/user_info.php?action=my_orderdo=order_amount_current_monthcurrent_mon=03random=0.7064526792839925timestamp=1352368141820current_year=2012参数current_mon current_year均可.....[详情]

“魂斗罗”手机应用程序SQL注入及修复 - 网站安关注热度:11

万普世纪开发（或者只是负责运维）的一款手机应用（魂斗罗30命。。）在拉取用户积分时所使用的URL存在SQL注入。可导致执行系统命令。万普世纪开发（或者只是负责运维）的一款an..[详情]

浅谈WAF绕过 - 网站安全 - 自学php关注热度:7

因工作原因研究了几天WAF绕过，简单分享下WAF绕过思路。对一些攻击特征串进行不同的编码，如：URL编码，ASCII，Unicode.使用一些非标准的编码很容易就造成WAF BYPASS.一些字符非标准的u..[详情]

对某站的一次渗透AND某系统的所谓0DAY - 网站安全关注热度:13

目标站www.2cto.com，独立服务器，服务器上共两个站，一个主站，一个blog，一个bbs。Blog采用的是0blog，尝试已知漏洞不成功，估计已经补了。所以从主站下手。主站多是静态的页面，可以..[详情]

Thaiweb远程文件sql注入漏洞0day及修复 - 网站安全关注热度:20

Google之:intext:powered by Thaiwebinurl:index.php?page=board.php利用点1:http://www.2cto.com /index.php?page=../../../../../../../../../../../../../etc/passwd利用点2:http://www.2cto.com /index......[详情]

Web攻防系列教程之企业网站攻防实战 - 网站安全关注热度:39

本文通过搭建一个真实的企业网站环境，先以攻击者的角度对目标网站进行入侵，最终得到目标网站数据库中的数据。然后对整个入侵过程进行详细分析，并修复目标网站存在的安全漏..[详情]

Web攻防系列教程之Cookie注入攻防实战 - 网站安全关注热度:175

随着网络安全技术的发展，SQL注入作为一种很流行的攻击方式被越来越多的人所知晓。很多网站也都对SQL注入做了防护，许多网站管理员的做法就是添加一个防注入程序。这时我们用常..[详情]

Web攻防系列教程之文件上传攻防解析 - 网站安全关注热度:34

文件上传是WEB应用很常见的一种功能，本身是一项正常的业务需求，不存在什么问题。但如果在上传时没有对文件进行正确处理，则很可能会发生安全问题。本文将对文件上传的检测方..[详情]