帝友P2P借贷系统搜索型SQL注入 - 网站安全 - 自学关注热度:18

帝友P2P借贷系统搜索型SQL注入标题上面说是v3 1版本，具体是什么版本，亲~您懂的。http: v31 diyou cc transfer_success index html?keywords=1borrow_type=account_status=borrow_interestrate=spread_mon..[详情]

百度云加速/加速乐/安全宝/360等所有waf产品某些关注热度:46

测试了下市面上 360 加速乐 百度云加速 安全宝这四个waf产品 在某种条件下均可以绕过 顺利注射出数据库信息。首先我自己搭建了环境 mssql+asp构造了一个 数字型的报错注入点。http: 19..[详情]

万户OA某处绕过限制文件上传以及sql注入 - 网站安关注热度:21

万户OA某处绕过限制文件上传以及sql注入发现这玩意还有标准版和专业版。不知道有没有和方便面牛重复~里面的方法适用于标准版，专业版存在同样的文件但是路径不一样。defaultroot i..[详情]

PHP中使用按位取反(~)函数创建后门，编码变异类关注热度:14

1）PHP ~位运算符前一段时间老外在twitter上爆出个有趣的东西，一串疑似乱码的字符串访问后却能正常输出1337。PHP: 位运算符 -http: www php net manual zh language operators bitwise php~$aNot（按位取反..[详情]

C# sql语句拼接时like情况的防sql注入的用法 - 网站关注热度:14

今天下午同事问我一个比较基础的问题，在拼接sql语句的时候，如果遇到Like的情况该怎么办。我原来的写法就是简单的拼接字符串，后来同事问我如果遇到sql注入怎么办。我想了下，这..[详情]

TSRC挑战赛：WAF之SQL注入防御思路分享 - 网站安全关注热度:15

背景对于腾讯的业务来说，有两个方面决定着WAF能否发挥效果，一个是合适处理海量流量的架构，另一个关键因素则是规则系统。架构决定着WAF能否承受住海量流量的挑战，这个在之前..[详情]

从Yii2的Request看其CSRF防范策略 - 网站安全 - 自学关注热度:32

先画一幅流程图理理思路：1 问题是这样的：今天在处理一个这样的需求， 在app controllers LoginController php中定义了index方法来处理登录（主要是用于非Web页面登录，比如Curl -X POST http: ap..[详情]

安卓内置浏览器跨域漏洞（UXSS） - 网站安全 - 自关注热度:14

相关链接：http: www rafayhackingarticles net 2014 08 android-browser-same-origin-policy html测试链接：http: x7s pw 001 htmliframe name=m src=http: www foxck com onload=window open( 3..[详情]

手把手教你应对搜索引擎劫持攻击 - 网站安全关注热度:12

作者：dong [转载请注明出处自 : 360网站卫士博客-blog wangzhan 360 cn]很多站长可能都遇到过一种黑客攻击方式，就是在搜索引擎结果页中看到自己的网站，但是点开后却跳转到一些其他网站..[详情]

TSRC挑战赛：WAF之SQL注入绕过挑战实录 - 网站安全关注热度:9

博文作者：lol [TSRC 白帽子]第二作者：Conqu3r、花开若相惜来自团队：[Pax Mac Team]应邀参加TSRC WAF防御绕过挑战赛，由于之前曾经和Team小伙伴一起参加过安全宝WAF挑战，而且自己平时接触..[详情]

星外虚拟主机跨web目录文件读取技巧 - 网站安全关注热度:12

星外虚拟主机跨目录读取文件漏洞，需要一定条件。详细说明：问题发生在以下文件，这些文件都没有严格的设置执行权限，当前的IIS用户能够顺利的利用它们执行命令：c: windows 7i24I..[详情]

安居客设计缺陷可伪造任意经纪人进行房源发布关注热度:10

注册账户，登录，发布房源下一步点击发送验证码，此过程抓包发送是成功了可是看reponse，竟然直接把验证码返回给客户端了所以我们可以填上验证码发布房源了，目测所有发送验证码..[详情]

主机屋可通过修改参数可免费购买域名空间（充关注热度:13

主机屋可通过修改参数可免费购买域名空间（充值刷钱漏洞）http: www zhujiwu com domain 域名注册，随便输入，然后注册。修改购买时长参数。li id=1|年 style=color: rgb(153, 153, 153); background..[详情]

51cto博客友情链接过滤问题可以获得登录用户co关注热度:15

友情链接过滤不严格，导致可以进行DOM结构注入。从而注入js攻击。另外cookie重要的登录项无httponly 保护，从而可以得到其他用户的登录会话。发生问题的地方。 增加友情链接http: dl52..[详情]

XSS探测 php 获取当前访问的url文件名的方法小结关注热度:12

推荐函数:一是PHP获取当前页面的网址: dedecms也是用的这个代码如下: 获得当前的脚本网址function GetCurUrl(){if(!empty($_SERVER[REQUEST_URI])){$scriptName = $_SERVER[REQUEST_URI];$nowurl = $..[详情]