finecms 最新版v2.3.3前台getshell - 网站安全 - 自学关注热度:9

不指望厂商确认，我就是要打脸。官方认为自己已经修复的很干净了，在我看来还是一点用处都没有。wooyun官方能不能给我都补个rank，毕竟找了好几个getshell了。 39;DR_NAME 39; = 39;海豚大..[详情]

Finecms v2.3.2前台getshell #1 (官网已shell) - 网站安全关注热度:18

问题仍然出现在头像上传处。finecms头像上传代码沿用的phpcms，多的不说，直接看代码吧。 member controllers Account php 第412行： *** 上传头像处理* 传入头像压缩包，解压到指定文件夹后删除..[详情]

wordpress中危xss跨站脚本攻击漏洞解决方案 - 网站关注热度:11

有很长的时间是没有来发表文章的，因为最近真的是太忙了。不过，今天可以给wordress建站的朋友分享一个真正的干货，绝对让你受益匪浅。如果你的网站也出现了中危xss跨站攻击漏洞，..[详情]

wordpress后台登陆安全插件Protected wp-login更换后台关注热度:13

我不知道大家学过做网站学过seo优化，没有学习网站安全这块，无论你有没有学习，只要听说网站让黑了，一般都是网站的权限落入到黑客的手中，因为一个人想黑掉你的网站或者是放..[详情]

关于Web安全的那些事（XSS攻击） - 网站安全 - 自关注热度:8

概述XSS攻击是Web攻击中最常见的攻击方法之一，它是通过对网页注入可执行代码且成功地被浏览器执行，达到攻击的目的，形成了一次有效XSS攻击，一旦攻击成功，它可以获取用户的联..[详情]

WordPress Spider Facebook 插件 'facebook.php&#3关注热度:9

发布日期：2014-09-07更新日期：2014-09-11受影响系统：WordPress Spider Facebook描述：BUGTRAQ ID: 69675WordPress Spider Facebook插件包括所有可用的Facebook社交插件和工具。Spider Facebook 1 0 8..[详情]

苏迪Webplus 3 EX网站群内容管理系统任意用户密码关注热度:26

苏迪科技Webplus 3 EX网站群内容管理系统，用户密码找回功能存在设计缺陷，导致任意用户密码重置。测试操作如下：1 由于我们没有测试账号，因此需要先注册一个账号：（注册地址默认..[详情]

大朴网越权之修改任意用户订单 - 网站安全 - 自关注热度:6

听说大朴网不错，东西用起来很舒服，而且大朴网来黑吧漏洞公告中心了，发现了个小问题，越权之修改任意用户订单如果我把订单的收货人改成Finger或者疯狗或者xsser再或者肉肉，那你..[详情]

金蝶某软件存在多个安全漏洞（通用管理账号+获关注热度:14

实际上是2个软件的漏洞，放在一起就不单独发了。金蝶eas存在通用管理账号+获得数据库密码漏洞，金蝶apusic存在远程代码执行漏洞。下面的..[详情]

回忆phpcms头像上传漏洞以及后续影响 - 网站安全关注热度:18

暑假写的文章了，最近博客没干货，发出来娱乐一下。为了响应爱慕锅（Mramydnei）、撸大师（索马里的海贼）、fd牛（ fd）的号召成立的parsec团队，以及各位老师多年来对我的教育，我要..[详情]

dedecms找后台与解密注意事项总汇 - 网站安全 - 自关注热度:13

解密：织梦密码是cmd5加密,为20位，去掉前三位与后一位。后台：默认的是dede login php1 include dialog select_soft php文件可以爆出DEDECMS的后台,以前的老板本可以跳过登陆验证直接访问,无需管理..[详情]

各大CMS厂商的CMS存在的同一设计缺陷 - 网站安全关注热度:10

简要描述：为了写这个漏洞我已经下载了很多CMS做了很多实验，。其中大多谈到的均为乌云上已经注册的厂商，包括：Ecshop、PHPwind、74CMS等等 这里一并提交一方面是为了防止各种小伙伴..[详情]

phpwind9.0最新版富文本存储型XSS漏洞 - 网站安全关注热度:12

没有阅读你们的代码，没有华丽的代码分析。只是黑盒测试代码编写不当导致phpwind发帖和回复功能均可以由攻击者植入恶意的js代码进而进行跨站脚本攻击。下面附上测试步骤，已便重..[详情]

126邮箱应用中心XXE注入漏洞 - 网站安全 - 自学p关注热度:11

http: uswebmail mail 126 com appcenter ftentry do?sid=XXXXXXXXXXXfunc=mapp:sequential典型的XXE注入，POST参数var?xml version=1 0?!DOCTYPE object [ !ELEMENT string ANY !ENTITY xx1..[详情]

优酷主站stored xss可执行任意js代码 - 网站安全关注热度:9

优酷个人频道（XXX的频道）存在存储型XSS，可加载并允许执行任意外部js代码。如为网络红人，可绑架DDoS僵尸。说来是个毫无水准的洞，但是危害性不小。漏洞存在于XXX的频道页面，专..[详情]