浅谈web后门隐藏与检测思路 - 网站安全 - 自学p关注热度:14

跟我一起念后门口诀：挑、改、藏、隐来个例子先，例一：只因为在目录里多瞅了一眼，只一眼，就认出了你。为什么你是那么的出众?可疑点：文件名、时间、大小。(有点经验的人能很..[详情]

土豆网邮箱绑定csrf（可导致劫持账号） - 网站安关注热度:10

这是问题页面~顺带一个比较糟糕的问题，这里没有设置邮件发送间隔的时间哦，相当于发动技能无cd。看吧刷屏了，可以做炸弹神马的哦。言归正传，先抓个包木有token哦客官。pochtmlb..[详情]

买卖宝任意用户密码修改 - 网站安全 - 自学php关注热度:12

首先进入买卖宝触屏版http://12094.mmb.cn/wap/touch/home/index.jsp然后选择找回密码，输入你要修改的帐号的手机号码，这里以13800138000为例。点击获取验证码。http://12094.mmb.cn/wap/findpassword/sendB..[详情]

ecshop最新版本后台所有功能块通用SQL注入(全版本关注热度:23

后台的SQL注入，几乎所有的后台功能块都能用此方法注入，进入后台就可以用此提升下自己的权限了，当然，进入后台让这个漏洞鸡肋了，你懂的～～～$filter = unserialize(urldecode($_COOKIE..[详情]

奇异某分站flash跨域漏洞(带测试实现code) - 网站安关注热度:16

flash跨域策略crossdomain.xml文件限制不严，造成flash csrf。看crossdomain.xml?xml version=1.0? cross-domain-policy site-control permitted-cross-domain-policies=all / allow-.....[详情]

http站点访问安全案例 - 网站安全 - 自学php关注热度:16

HTTP：超文本传输协议（HyperText Transfer Protocol，）http是互联网上应用最为广泛的一种网络协议。设计HTTP最初的目的是为了提供一种发布和接收HTML页面的方法。通过HTTP或者HTTPS协议请求的..[详情]

蛋碎一地的羊驼CMS sql injection & getShell - 网站安关注热度:13

最近在研究代码审计,便去chinaz 找了个人气比较高的 cms,本文适合我等刚入门滴人士Ue批量查了一下源码 整个系统都在注入 注入额,单引号啊,还需要绕过,开gpc就惨了,然而,发现这个伟大的..[详情]

三种方式实现web站点安全 - 网站安全 - 自学php关注热度:20

因为apache底层走的是tcp协议，而tcp协议是明文的，当你访问一些购物网站或银行网站办理业务时就非常不安全，因为是明文传递，容易被人抓包。为了实现apache站点安全，一般采用身份..[详情]

Linux下网站安全加固方案 - 网站安全 - 自学php关注热度:15

本文详细总结了PHP网站在Linux服务器上面的安全配置，包含PHP安全、mysql数据库安全、web服务器安全、木马查杀和防范等，很好很强大很安全。php安全配置：1.确保运行php的用户为一般用..[详情]

espcms的一枚sql注入 - 网站安全 - 自学php关注热度:15

POST /espcms_utf8_5.6.13.04.22_b/upload/index.php?ac=membermainat=save HTTP/1.1Host: localhostUser-Agent: Mozilla/5.0 (Windows NT 6.1; rv:21.0) Gecko/20100101 Firefox/21.0Accept: text/.....[详情]

搜狐某分站小漏洞打包(平行权限，存储xss等)关注热度:10

问题站点http://sc.m.sohu.comNo 1 平行权限修改任意用户收货地址注册2个帐号A帐号 UID=0c0525ac6b934basB帐号 UID=672f91694a6a485sA帐号访问http://sc.m.sohu.com/uc/v2/profile/modifyUserAddress修改隐藏.....[详情]

父母网rsync信息泄露源代码导致安全问题 - 网站安关注热度:14

看到rsync的这个文章http://www.2cto.com/Article/201307/226273.html，随便找了一个试试手，还涉及UC_KEY利用，中转脚本等思想。www.fumu.comip 210.14.136.87按照文章给出的教程利用命令扫C段的rsync试下..[详情]

通易建站企业站点任意文件上传 - 网站安全 - 自关注热度:30

后台装有通易上传插件，可直接调用上传，利用IIS解析漏洞，获得webshell。构造关键字：美工及程序设计:金站网通易建站随便找几个站测试。然后就没有然后了，本人测试了一下。入侵..[详情]

让某些网站漏洞扫描平台为我所用 - 网站安全关注热度:17

email:0x007er@gmail.com说明：本文乃原创，同时也很菜 只是分享出自己一些想法 如有雷同 纯属科学现象其实是这样的，我们平时经常看到一些漏洞扫描网站，诸如360网站安全检测 ScanV网站安..[详情]

开源代码管理：如何安全地使用开源库？ - 网站关注热度:13

在开发内部和外部应用程序时，企业越来越多地使用开源代码这是合理的。使用免费预构建的组件，而不用自行编写代码，能够显著缩短应用开发时间和提高软件开发成功概率。在开发..[详情]