ThinkSNS修改帐号验证不安全，可伪造 - 网站安全关注热度:13

ThinkSNS开启邮箱验证后修改帐号邮箱发送的连接不安全，可伪造版本最新的2.8代码位置：thinksns\addons\services\ValidationService.class.php$validation_code = $this-__generateCode($vid);$target_url =.....[详情]

j2ee分层架构安全-- 迅雷 - 网站安全 - 自学php关注热度:22

先看这篇文章：http://www.2cto.com/Article/201210/164267.htmlhttp://caipiao.xunlei.com/WEB-INF/web.xmlbeans xsi:schemaLocation=http://www.springframework.org/schema/beans http://www.springframe.....[详情]

THINKSNS某功能高危跨站 - 网站安全 - 自学php关注热度:15

THINKSNS某功能高危跨站，可跨各种名人堂啊，风云榜选手详细说明：一个一个来1添加好友分组过滤不严格看效果2第二个地方是发私信的功能，没有交代清楚，导致存储Xss，是个与人交互..[详情]

QQ空间+朋友网日志功能存储型XSS及修复 - 网站安关注热度:13

此漏洞影响腾讯2大主要的社区日志功能，QQ空间和朋友网的前端和后端是一套逻辑，就不分开提交了。漏洞相关信息日后会同步至pkav.net。缺陷文件：http://cnc.qzs.qq.com/qzone/newblog/v5/scrip..[详情]

腾讯微博私信接口存储型XSS及修复 - 网站安全关注热度:7

1、发送私信，内容为:img src=# onerror=alert(1)2、当然直接访问私信是不存在问题的，不过有两个json接口是和私信相关的下面这个接口是返回和多少用户有私信往来，同事返回最后一条私信..[详情]

WordPress Nest主题'codigo'参数SQL注入漏洞 -关注热度:15

受影响系统：WordPress Nest Theme描述：WordPress Nest主题是一个简单的主题，支持有效HTML 5、CSS 3、主题选项和小工具。WordPress的Nest主题在gerador_galeria.php页面的codigo参数的实现上存在SQL注入漏..[详情]

Discuz xss利用演示 - 网站安全 - 自学php关注热度:22

Crossday Discuz! Board（简称 Discuz!）是北京康盛新创科技有限责任公司推出的一套通用的社区论坛软件系统。自2001年6月面世以来，Discuz!已拥有11年以上的应用历史和200多万网站用户案例，是..[详情]

xcar极品存储xss一枚 - 网站安全 - 自学php关注热度:9

咱老xcar人了，我就不做破坏了，发现后直接报上来吧。不去套管理员cookie了。完全没检查和过滤用户的输入，导致的结果是，只要你敢点我名字。。。http://my.xcar.com.cn/myspace.php完全没过..[详情]

新浪微博私信处存储型XSS及修复 - 网站安全 - 自关注热度:10

因为提交，所以提交。详细说明：缺陷文件：http://js.t.sinajs.cn/t4/webim/js/webim.js?v=683ba479e29b6483缺陷代码：1. 微博私信中，点击图片，查看大图时，触发以下事件。bindDomEvent: function() { .....[详情]

ecshop csrf getshell - 网站安全 - 自学php关注热度:15

0x0 后台getshell在includes/cls_template.php fetch函数/** * 处理模板文件 * * @access public * @param string $filename * @param sting $cache_id * * @retu.....[详情]

渗透xx网站服务器到内网渗透 - 网站安全 - 自学关注热度:15

一日群里童鞋发来一个站，是xx大学二级站点，问我可不可以拿下，于是乎群里同学们群情激动，一阵过后，有位同学发现了个前辈留下的shell，一看是落叶牛的shell，默认密码admin，进去..[详情]

渗透并安全处置某重要网站记录 - 网站安全 - 自关注热度:17

下午接单位领导通知需对某重要政府网站进行安全应急处置工作，(已纳入恶意篡改数据黑客攻击案件）据说他们那边的服务器老是被入侵（管理员同学加固几次了依然被入侵）；然后让..[详情]

浅谈SQLI的危害和利用 - 网站安全 - 自学php关注热度:21

继续SQLI话题之前，先了解一下网站应用程序的结构。很多网站都会用到数据库,数据库中存储用户名，密码以及一些用户的敏感信息.数据库中存储的信息一直是黑客比较感兴趣的东西，..[详情]

拍旁轻博客任意上传漏洞及修复 - 网站安全 - 自关注热度:19

关键字：power by 身旁网拍旁轻博客注册会员个人空间图片增加图片php一句话or大马右键查看属性大马地址去掉_small就是脚本木马地址。2.3.4.修复：严格过滤上传.....[详情]

揭露黑客进行域名劫持的几种方法 - 网站安全关注热度:16

科普文。。我看完以后的一个想法就是一但获得了域名的控制权。。如果真想干坏事。那就转移域名。而不只是简单的改DNS。。居然还敢卖域名。。这个第一次看到。。我是好人。。一..[详情]