JavaWeb应用配置文件安全解决方案 - 网站安全 - 自关注热度:16

这里主要说说JavaWeb应用的配置文件安全，通常JavaWeb应用多多少少会有一些配置文件，其中数据源的配置则是关系到数据库的安全，另外还有一些基于文件的权限配置，应用程序的一些系..[详情]

检测php网站是否已经被攻破的方法 - 网站安全关注热度:17

from :http: www gregfreeman org 2013 how-to-tell-if-your-php-site-has-been-compromised 0x01 查看访问日志看是否有文件上传操作(POST方法)，IPREMOVED - - [01 Mar 2013:06:16:48 -0600] POST upl..[详情]

SQL注入和XSS BYPASS WAF 测试向量 - 网站安全 - 自学关注热度:11

www site com..[详情]

某交易网APP设计不当导致数据库泄漏 - 网站安全关注热度:14

该APP的安卓客户端，设计问题导致数据泄漏，导致全站数据泄漏最近对安卓的app逆向挺感兴趣，然后对网上一些app进行安全测试，此app初入手时，发现其内部有mysql的jdbc驱动，然后就想..[详情]

P2P网贷网站上的魔术师和他命途多舛的马儿 - 网关注热度:14

安全圈的一位高人曾经说过，攻击就是一种魔术。有趣的是，我在某P2P网贷平台上，还真看到了被凭空变出来的钱。P2P贷款是当下一种比较方便和实用的融资手段，为很多中小融资者解..[详情]

格林豪泰短信验证漏洞和订单查询无权限控制关注热度:19

格林豪泰的手机网站http: m 998 com 1 短信验证漏洞注册页面http: m 998 com Api Account SendMobileCheckMsg ashx发送验证码的请求返回结果中直接包含了短信验证码。这样的结果就是可以随便使用别人..[详情]

漏洞科普：对于XSS和CSRF你究竟了解多少 - 网站安关注热度:17

随着Web2 0、社交网络、微博等等一系列新型的互联网产品的诞生，基于Web环境的互联网应用越来越广泛，企业信息化的过程中各种应用都架设在Web平台上，Web业务的迅速发展也引起黑客..[详情]

MediPro最新版注入漏洞及后台get shell - 网站安全关注热度:33

MediPro 有多套cms网站存在过滤不严，存在注入漏洞，后台可以绕开登录，get shell，获取服务器权限。 * 呃，官网默认是zend加密的代码，需要解密。* 百度了下，，还是很多网站使用。。..[详情]

Discuz3.2漏洞文件包含漏洞可后台拿shell - 网站安全关注热度:182

由于创建专题时未对静态化名称做任何限制引发此漏洞1 全局-站点信息网站 URL: 1..[详情]

利用xmlrpc.php对WordPress进行暴力破解攻击 - 网站安关注热度:32

近几天wordpress社区的小伙伴们反映遭到了利用xmlrpc php进行暴力破解的攻击。利用xmlrpc php提供的接口尝试猜解用户的密码，可以绕过wordpress对暴力破解的限制。已经发现了大规模的利用，..[详情]

TSRC挑战赛： PHP场景中getshell防御思路分享 - 网站关注热度:22

1背景概述WEB应用漏洞导致的入侵时有发生，扫描器和WAF并不能解决所有的问题，于是尝试在主机侧针对PHP环境做了一个防御方案。很荣幸的邀请到TSRC部分白帽子做了一次对抗演习，本文..[详情]

TSRC挑战赛： PHP防御绕过挑战实录 - 网站安全 -关注热度:27

前一段时间有幸参加了由TSRC 发起的一个挑战赛。目标环境运行着一个正常的discuz应用，并且存在一个上传接口，该接口允许上传任意文件, 但限制了大部分危险的PHP函数, 比如system、s..[详情]

代码审计：eyou(亿邮)邮件系统两个getshell和两个有关注热度:21

最近在给一家市值过百亿美金的公司做渗透测试，发现其中一个域名用的亿邮邮件系统，就顺便下了套亿邮的源码看了看，发现这套系统的安全性还停留在零几年，问题一大堆，找到一..[详情]

YiDaCms v3.2 sql注入+逻辑错误 - 网站安全 - 自学ph关注热度:13

YiDaCms v3 2 sql注入+逻辑错误admin CheckAdmin asp 1 2 3..[详情]

安全测试-跨站脚本攻击（xss） - 网站安全 - 自学关注热度:18

跨站脚本简称(cross sites script)，是安全里比较重要也比较普遍的一种安全漏洞。跨站脚本是指输入恶意的代码，如果程序没有对输入输出进行验证，则浏览器将会被攻击者控制。可以得到..[详情]