腾讯3366游戏分数任意修改 - 网站安全 - 自学php关注热度:12

3366中任意一个可以和好友PK分数的游戏，如 飞天忍者猫 http: www 3366 com flash 1000168 shtml开始游戏，结束时Tamper数据包：POST数据为：qzversion=0platform=1key=a6eextv1mcf8cdbad982946c560ab2dd29..[详情]

搜狐视频某重要功能储存XSS - 网站安全 - 自学关注热度:11

想看《中国好声音》其他视频网站貌似没有播放版权，就去搜狐看了，看的人真多，流量很大。这位置要是有个XSS那是不是很给力，而且还能调用任意外部js文件~详细说明：真没想到诶..[详情]

海尔集团某系统任意文件上传导致沦陷（修复方关注热度:25

系统地址http: 218 58 70 214 haiergc 海尔大客户项目管理系统其实具体绑定什么域名我也不知道，只知道这个是你们C段里面的某个新系统，在你们内部导航看到的。先注册，这个注册是一个漏..[详情]

搜房网存在xss漏洞可导致csrf可导致用户帐号被盗关注热度:9

对输入的参数输出过滤不严谨导致反射型xss,泄漏用户cookie，导致信息被盗取，用户被登录这个漏洞在wooyun提了两次，没有审核通过，第二次审核不通过的提示语为：问题确实存在但是危..[详情]

多米音乐储存型XSS漏洞可蠕虫 - 网站安全 - 自学关注热度:11

我也不懂这算不算蠕虫，只能用已知SessionId的ID发动 详细说明：http: v5 pc duomi com single single shtml?id=29869663592644772在评论处插入XSS得到cookiescookies里面的密码是hash两次加密，不容易解，..[详情]

太平洋保险逻辑缺陷导致秒进入任意用户帐号(可关注热度:7

（并非密码修改漏洞，是直接进入任意帐号）（密码明文储存 不光可以进入帐号 还可以直接获取用户明文密码！！！）引用七楼的话：据说怕给的rank太高引起注意被挖洞 你就不怕给得..[详情]

V5SHOP某分站SQL注入以及程序泄露发现多处注射关注热度:7

http: service v5shop com statistics aspx这里未设置权限访问 泄露1150条客户信息 同时一些代理商登录账号也暴露了http: service v5shop com system system rar这里源码包没有删除 可以下载源码包。包内有..[详情]

PHP168新漏洞 可查询任意用户数据 - 网站安全 - 自关注热度:13

国微PHP168中出现了一处神奇的array，可致全站用户数据泄露。泄露的内容包括全站用户的密码密文、邮箱、密码salt、IP等敏感信息。PHP168程序内置用户模块包含用户个人资料展示页面。在..[详情]

WHMCS(PHP程序)防止IP欺骗(伪造X-Forwarded-For) - 网站安关注热度:16

前面发布了一篇文章，讲述了多重代理时防止伪造X-Forwarded-For的方法。那只是针对使用代理服务器的情况。虽然没使用代理服务器时，很少会出现这个问题，但是也不排除有些傻逼PHP程..[详情]

为什么文件上传表单是主要的安全威胁 - 网站安关注热度:9

为了让最终用户将文件上传到您的网站，就像是给危及您的服务器的恶意用户打开了另一扇门。即便如此，在今天的现代互联网的Web应用程序，它是一种常见的要求，因为它有助于提高..[详情]

Tipask 2.0前台任意文件删除 - 网站安全 - 自学php关注热度:8

* tipask可以调整头像保存并删除原始头像* 在删除原始头像时使用了post提交的参数* 造成任意文件删除漏洞function onsaveimg() { $x1 = $this- post[ 39;x1 39; ]; $..[详情]

Tipask 2.0 任意充值 - 网站安全 - 自学php关注热度:13

系统未检查传入参数的有效性function onaliapyback() { if ($_GET[ 39;trade_status 39; ] == 39;TRADE_SUCCESS 39;) { $credit2 = $_GET[ 39;total_fe..[详情]

PHP网站在Linux服务器上安全设置方案 - 网站安全关注热度:19

本文总结了PHP网站在Linux服务器上一些安全设置（ps：还有一些设置给忘了），在《lnmp一键安装包》大多数参数已经包含，如果有什么更多的设置，大家一起讨论学习PHP安全配置1 确保运..[详情]

如何有效防止XSS攻击/AJAX跨域攻击 - 网站安全 -关注热度:10

1，利用字符过滤漏洞，提交恶意js代码，当用户打开页面时执行2，需要填写图片地址或css等直接在页面加载时执行的地方，填写恶意js [javascript：xxxx]，当用户打开包含图片的页面时，可..[详情]

多重代理时如何防止伪造X-Forwarded-For且获取真实关注热度:17

当我们给网站使用例如CDN，Nginx或Varnish等缓存服务时，为了获取访客的真实IP，大多数会地把访客的真实IP赋值给X-Forwarded-For(下文简称XFF)。但是因为XFF是个HTTP请求头，也就是最前面带有..[详情]