dedecms某一处insert型注入 - 网站安全 - 自学php关注热度:21

dedecms一处注入，较鸡肋，之前变量覆盖的漏洞太轰动了，所以一直没发出，之前5月份最新版本测试的，目前最新版本应该是没修复的漏洞需要会员，所以比较鸡肋啦发表文章处，post表..[详情]

边锋旗下某站存在盲注漏洞(修复机制绕过) - 网关注热度:18

过滤不完整，存在注入http: www yokagames com product product ?id=53 处存在注入漏洞其实还发现之前有人报过，但是修复仅仅做了简单过滤可绕过如空格替换为 ** 手工注了一下 注出了数据库和用..[详情]

联想某站点任意文件上传与下载漏洞可读取服务关注热度:21

存在问题的站点：http: legc lenovo com 1 上传头像处对过滤不严导致可上传任意文件：2 好在上传的文件和web应用进行了分离无法直接利用，但是这样却导致了另外一个问题，任意文件下载，..[详情]

联想某站点任意用户密码+资料修改(权限限制不严关注热度:7

存在问题的站点：http: legc lenovo com 一 任意用户密码修改1 注册一个帐号，点击来进行用户密码修改；2 抓包得到如下数据，发现未进行过多校验，通过修改用户id参数即可修改不用用户密..[详情]

联想某站点任意文件下载可读取服务器任意文件关注热度:11

问题站点是联想开发社区：http: developer lenovomm com 1 注册一个用户，看见有个上传新应用；2 我就不相信你们一个错误只犯一次，果不其然,提交以下请求；http: developer lenovomm com windev Rea..[详情]

利用社工绕道突破安全狗直取webshell - 网站安全关注热度:23

我的一位网赚朋友要获取某站的一些软件，找我帮忙。这个站不知道是什么cms。并且用扫描敏感信息就会有安全狗挡道。很蛋疼，主站没办法，只能从旁站入手，用御剑查了一下。162个..[详情]

WHMCS SQL注射 EXP - 网站安全 - 自学php关注热度:19

Localhost在汇报WHMCS SQL注射的时候，顺便和EXP一起发布了，这里就将他转了过来！本站提供程序(方法)可能带有攻击性,仅供安全研究与教学之用,风险自负!! usr bin env python 2013 10 03 - WHMCS 5..[详情]

xss攻击浏览器同源策略与跨域访问 - 网站安全关注热度:16

1、同源策略同源策略是一种约定，它是浏览器最核心也是最基本的安全功能。浏览器的同源策略， 限制了来自不同源的document或脚本，对当前document读取或设置某些属性 。邪恶的分..[详情]

容易忽视的前端陷阱 - 网站安全 - 自学php关注热度:10

CSRF（Cross Site Request Forgery）是伪造客户端请求的一种攻击，字面上的意思是跨站点伪造请求CSRF的定义是强迫受害者的浏览器向一个易受攻击的Web应用程序发送请求,最后达到攻击者所需要..[详情]

叽歪的CSRF漏洞 - 网站安全 - 自学php关注热度:10

www 2cto com：也是一篇老文章了，仅供技术分析声明，此漏洞已提交叽歪官方处理（2009-02-05），本案例仅作技术研究。由此漏洞造成的所有后果，本人不承担任何责任。参加集团「精武门..[详情]

百度Hi Csrf蠕虫攻击 - 网站安全 - 自学php关注热度:12

www 2cto com:08年的老文章了，可能以前整理资料的时候删掉了，再补上漏洞起因：百度是国内最大的中文搜索引擎。同时百度也提供了百度空间、百度贴吧等BLOG社区服务，拥有海量的用户..[详情]

Go语言实战 - revel框架教程之CSRF（跨站请求伪造）关注热度:25

CSRF是什么？请看这篇博文浅谈CSRF攻击方式，说的非常清楚。现在做网站敢不防CSRF的我猜只有两种情况，一是没什么人访问，二是局域网应用。山坡网之前属于第一种情况，哈哈，所以..[详情]

代码审计–Dedecms最新版本存储xss - 网站安全 - 自关注热度:16

由于编辑文章的模板参数 typeid2可控，导致存储XSS发生。dedecms dede templets article_edit htm页面316-325行代码如下：tr td height=24 colspan=2 class=blinetable width=800..[详情]

The problem with website security is us! - 网站安全 - 自学关注热度:11

I write a lot about website security Sometimes Irsquo;ll publicly point out flaws in software but there are many, many other times where it remains a private conversat..[详情]

一个XSS引发汉庭酒店内部系统沦陷的经典案例关注热度:10

那天恰巧刷乌云，看到有人提交漏洞WooYun: 汉庭优惠券免费无限领取漏洞，刷券咯～，汉庭就进入了我的眼帘，这次测试只是想起貌似这个酒店有我的资料，想看看安不安全。。。第一想..[详情]