Thinksns某SNS功能极品XSS，通杀WEB和IOS客户端 - 网站关注热度:16

在一般能够出问题的地方出现了问题，很正常。正题在个人主页发表图片的时候，存在不严格的地方，导致了一存储跨站：上传完成，可以看到效果由于看到了这样一个操作会自动发送..[详情]

程序员疫苗：代码注入 - 网站安全 - 自学php关注热度:13

几个月前上说过要建一个程序员疫苗网站，希望大家一起来提交一些错误示例的代码，来帮助我们新入行的程序员，不要让我们的程序员一代又一代的再重复地犯一些错误。很多程序上..[详情]

HTML 5 安全列表 - 网站安全 - 自学php关注热度:15

下面这个网站罗列了，几乎所有的关于HTML 5 在各种主流浏览器上的安全问题，这些安全问题很有可能将会是黑客攻击你的网上的敲门砖，他们几乎都和Javascript都有关系，你就要好好注意..[详情]

新浪微博某处CSRF自动加关注漏洞 - 网站安全 - 自关注热度:14

在网站框架内嵌入代码，当别人访问你的网站时，不需按关注按钮，即可自动关注你先前设定的账户。htmlbodyform id=imlonghao name=imlonghao action=http://widget.weibo.com/list/aj_attuser.php .....[详情]

Cookie注入详细介绍 - 网站安全 - 自学php关注热度:52

随着网络安全技术的发展，SQL 注入作为一种很流行的攻击方式被越来越多的人所知晓。很多网站也都对SQL 注入做了防护，许多网站管理员的做法就是添加一个防注入程序。这时我们用常..[详情]

快播播放器播放列表文件溢出 - 网站安全 - 自学关注热度:11

处理播放列表文件之后，在某处再次引用文件名没有限制长度而导致溢出版本：?wpl version=1.0?smil head meta name=Generator content=Nothing is true/ titletest/title.....[详情]

腾讯向好友索要功能xss+疑似SQL注射 - 网站安全关注热度:11

腾讯向好友索要功能xss，提交索要，点击后直接通过xss和上下文环境功能即可获得他人QB另外提交索要处疑似SQL注射。pay.qq.com 域名哦。。详细说明：http://pay.qq.com/service/ask_v2.shtml?sid=1c..[详情]

通元建站系统上传漏洞及修复 - 网站安全 - 自学关注热度:21

通元建站系统存在上传漏洞，可直接上传任意文件，无过滤。通元建站系统的网站均存在上传点访问www.xxx.com/cms/editor/filemanager/browser/default/browser.html?Type=Connector=connectors/jsp/connectorType....[详情]

yourphp cms 存储型xss - 网站安全 - 自学php关注热度:19

yourphp是一款基于thinkphp框架开发的开源cms，存在存储型xss漏洞在试用该cms时发现了此漏洞，为了具有说服力，遂采用了官方的demo显示xss过程，在yourphp官方的http://demo5.yourphp.cn上进行操作..[详情]

PHPCMS2008黄页模块漏洞:变量初始化不严致任意PH关注热度:19

PHPCMS2008黄页模块漏洞变量初始化不严导致任意PHP代码执行PHPCMS2008系统中string2array函数调用eval有高风险，在/yp/web/include/common.inc.php中$menu变量初始化不严，导致可以注入执行任意PHP代码..[详情]

xpath注入原理分析 - 网站安全 - 自学php关注热度:13

xpath是xml路径语言，用于配置文件的查找。数据库就是xml文件。#8203;常见的xpath语句如下：users user firstnameBen/firstname lastnameElmore/lastname logi.....[详情]

对付SQL注入的手段能够应对XPath注入? - 网站安全关注热度:17

问：XPath注入攻击与SQL注入攻击有什么不同?SQL注入攻击能够缓解防御XPath注入攻击的技术吗? 专家回答：XPath (XML路径语言) 1.0是一种表达语言。许多应用程序根据XML文件的内容使用这种语..[详情]

jsp过滤非法字符输入 防止XSS跨站攻击 - 网站安全关注热度:19

一。写一个过滤器代码如下：package com.liufeng.sys.filter;import java.io.IOException;import java.io.PrintWriter;import javax.servlet.Filter;import javax.servlet.FilterChain;import javax.servl.....[详情]

另类sql注入拿webshell - 网站安全 - 自学php关注热度:14

sql注入，想必大家都知道，本文教大家如果通过常规方法不行的前提下，拿下网站shell。凡是以http:// www.2cto.com /xxx.asp?id=1类似名称都可以通过著名的and 1=1 和and 1=2来检测是否存在漏洞。..[详情]

新浪微博某官方应用存储型XSS - 重温一个利用方关注热度:14

总的来说，该存储型XSS，是由于某页面的输出没过滤造成的。其实大部分都过滤了，就这里没过滤而已～ 算是小问题啦。 不过在漏洞的利用构造上，个人觉得还是挺有意思的!在4，5年前..[详情]