PHP代码网站如何防范SQL注入漏洞攻击建议 - 网站关注热度:9

所有的网站管理员都会关心网站的安全问题。说 到安全就不得不说到SQL注入攻击（SQL Injection）。黑客通过SQL注入攻击可以拿到网站数据库的访问权限，之后他们就可以拿到网站数据库中..[详情]

数据库插马拿shell加提权 - 网站安全 - 自学php关注热度:8

今天一基友扔我个后台，说拿不下shell。我就果断上去看看咯~大致看了下后台，有数据库备份，我就蛋疼了，这他都拿不下？我当时看到有数据库备份，就小小的鄙视了下他，结果当我..[详情]

利用IIS解析漏洞拿shell加提权过程 - 网站安全关注热度:11

加个admin，跳到后台尝试了下弱口令，admin,admin888进入之~初步看了下，看到了数据库备份~当时没仔细看，高兴的~然后果断找上传页面~在新闻添加那找到了编辑器，表示没见过这种编辑器..[详情]

奇葩后台拿shell加提权过程 - 网站安全 - 自学p关注热度:13

表示无意中发现这个站，习惯性加个admin跳出后台登陆界面~习惯性试下弱口令~admin登陆进去之~管理员安全意识很差啊~表示此后台很碉堡啊。。。。真尼玛简洁。。。果断找上传页面~但..[详情]

对临沂某大学的一次复古式检测 - 网站安全 - 自关注热度:13

好长一段时间之前搞得了，后来因为比较忙所以没有整理，是一个机友要求帮忙，其实这个站做的挺烂的，直接拿wvs扫了一下，直接出了weak password的后台地址，http://business.2cto.com /jpkc..[详情]

Web十大安全隐患之XSS跨站脚本 - 网站安全 - 自学关注热度:18

上次提到的是sql注入，算是较大的安全隐患，今天我们来介绍另外一种较为严重的安全隐患--XSS跨站脚本攻击。 首先咱们来说什么是跨站脚本攻击。它的英文叫CrossSite Scripting，通俗点说..[详情]

Web十大安全隐患之SQL注入 - 网站安全 - 自学php关注热度:12

注入往往是应用程序缺少对输入进行安全性检查所引起的，攻击者把一些包含指令的数据发送给解释器，解释器会把收到的数据转换成指令执行。常见的注入包括SQL注入，OS Shell，LDAP，..[详情]

Web Wiz Rich Text Editor version 3.0 getshell - 网站安全关注热度:12

最近搞国外站时碰到的此款编辑器，记录一下。地址：http://www.2cto.com /RTE_popup_file_atch.asp1.可以上传任意文件，虽然未提示上传成功，但是已经上传了。2.新版本若对上传文件有限制，可..[详情]

PostgreSQL注入常见问题入总结 - 网站安全 - 自学关注热度:15

1) 如何判断php搭配数据库为PostgreSQL 我们假设一个php+PostgreSQL并且开启了错误回显的网站有一个注入点，我们在xx.php?id=n后面加单引号rsquo;，它的回显将会是这样的： Warning: pg_query() [fun..[详情]

ashx绕过防火墙 - 网站安全 - 自学php关注热度:51

小编注：渗透测试时请预先获得许可或授权，禁止进行非法渗透。授权对一个电视台进行渗透测试，前提编辑器可以上传ashx文件的(编辑器漏洞) 根据参考:http://www.2cto.com/Article/201212/176..[详情]

揭穿黑客关于Ashx脚本写aspx木马的方法汇总 - 网站关注热度:25

某站，.Net环境,上传处未限制Ashx和Asmx，后者上传无法运行，提示Asmx脚本只能在本地运行，于是打算先传个Ashx脚本然后在当前目录下生成Aspx文件(目标不能执行Asp文件)，网上找到如下A..[详情]

财富中国多分站任意文件下载及引起的注入 - 网关注热度:8

财富中国 cn 域所有使用V9的站点，由于配置不当，造成配置文件下载，从而造成信息泄漏及SQL注入等问题。站点大概有：zx.sichuan.3158.cnzx.hlj.3158.cnzx.henan.3158.cnzx.ln.3158.cnzx.guangzhou.3158.cnz..[详情]

金山毒霸存储型XSS第二弹 - 网站安全 - 自学php关注热度:14

上一篇：http://www.2cto.com/Article/201212/175899.html金山网络联盟--投放广告位处存在存储型XSS，没有做任何过滤。。详细的还是看图吧。。。已经打出后台敏感信息了，可惜我顾着看别的，截..[详情]

搜狐闪电邮存储型XSS一枚 - 网站安全 - 自学php关注热度:14

搜狐闪电邮主题处存在存储型XSS。。读取邮件不会触发，在个人中心点击我的邮箱时触发。。详细的看图吧。。不知道该说啥了。。。最近人品爆发。。修复方案：过滤。。..[详情]

某手机邮箱csrf+xss利用，一次奇遇的挖洞 - 网站安关注热度:19

由于我是联通的忠实用户，前面看你挖xss，我就到联通邮箱去看了一下，粗略的看了下，子发现日程管理的日程可以xss，但是只能xss自己，郁闷放弃走人了最近两天看都在csrf，于是我又..[详情]