XSS Filter Evasion Cheat Sheet 中文版 - 网站安全 - 自学关注热度:8

介绍这篇文章的主要目的是去给应用安全测试者提供一份xss漏洞检测指南。文章的初始内容由RSnake提供给OWASP，从他的xss备忘录: http: ha ckers org xss html 。目前这个网页已经重定向到我们这..[详情]

支付宝结合万网中转跳转漏洞 - 网站安全 - 自学关注热度:15

支付宝结合万网中转跳转漏洞,可以跳到任何网站之前已经有网友,在黑吧中提交了https: auth alipay com login logout htm?goto= 这个漏洞,利用跳转来做淘宝客的黑色产业 之前的已经不能跳到任意站..[详情]

一次主站被黑经历 —— 几种常见的博客系统攻击关注热度:9

在相当长的一段时间里，博主我本人对于搜索引擎的收录条目重来不做recheck，也没精力去做这件事。后来旧域名isomer me过期换上了现在的新域名ty-m com，做了一些轻度SEO，随后经历了收..[详情]

新网分站一处POST登录框SQL注入漏洞 - 网站安全关注热度:12

新网分站一处POST登录框SQL注入漏洞 新网的投诉管理平台http: newyunying xinnet com 任意用户名密码，提示用户名错误用户名admin，密码任意，提示密码错误用户名admin ，就报错啦然后试下ad..[详情]

淘宝某站源码泄露及SQL注入漏洞 - 网站安全 - 自关注热度:24

淘宝某站源码泄露及SQL注入分析拿下淘宝某站源码，分析sql注入漏洞及绕过svn导致源码泄露：http: ip taobao com svn entries拿下源码接下来分析源码：1 敏感信息泄露，数据库信息：2 sql注入分..[详情]

phpcmsV9某sql注射漏洞及修复 - 网站安全 - 自学ph关注热度:18

phpcmsV9某sql注入漏洞别人说最危险的地方最安全，我说最安全的地方最危险。。。相信你们也没有想到这个最常见，常常会在各种教程出现的地方会存在SQL注射。。。需 GPC OFF首先，我们..[详情]

如家管理大学任意文件上传漏洞 - 网站安全 - 自关注热度:13

如家管理大学任意文件上传漏洞用的安博教育集团软件http: el homeinns com login index html随便找了个弱口令登录lsun 123456个人中心任意文件上传，绕过js验证就可以了。系统root权限，同服务器..[详情]

一次成功的漫游京东内部网络的过程 - 网站安全关注热度:24

在那山的这边海的那边有一群程序猿，他们老实又胹腆，他们聪明但没钱。他们一天到晚坐在那里熬夜写软件，饿了就咬一口方便面。哦苦命的程序猿，哦苦命的程序猿，只要一改需求..[详情]

如何利用WebClient模拟登陆CSRF控制的网站 - 网站安关注热度:13

一般我们都是利用WebRequest这个类来向服务器进行数据的POST，不过很多情况下相应的服务器都有验证，看你是不是登陆，是不是来自同一个域，这些都简单，我们可以更改其属性来达到欺..[详情]

一个远程代码执行漏洞搞定Yahoo, Microsoft, Orange关注热度:7

写在前面：一个埃及黑客通过一个文件上传，拿下了多个大型厂商旗下网站。而且这个哥们说话蛮逗的，很有喜剧效果。英文原文看这里。正文:Hello，大家好，今天我将给大家展示一个..[详情]

ShopNC一处信息泄露可导致任意用户订单泄露 - 网关注热度:9

ShopNC在前台的用户隐私信息防护做得很好，但忽略了一处api的防护，导致漏洞产生漏洞可直接获取包含用户订单详情的json字符串使用官方商城做演示（http: www shopnctest com c2c 2013 test 用户..[详情]

Hacking go lucky：我们是怎么拿下谷歌产品服务器的关注热度:12

为了能够跟进最新的安全预警，我们经常花时间在漏洞悬赏和ctf比赛上面。当我们讨论这周末要去搞些什么的时候，马蒂亚斯想到了一个有趣的思路：有什么目标可以被我们用来攻击他..[详情]

OAuth 漏洞预警 (OAuth平台redirect_uri 漏洞) - 网站安关注热度:15

1 首看看漏洞的起因：有兴趣的你可以将下面的url贴到浏览器看看效果:http: chillyc info csdn net或者这个url:http: sdfa com@chillyc info?blog csdn net 这些 Url 在不同的浏览器上表现可能不太一致。..[详情]

天生创想OA系统无需登陆SQL注入 - 网站安全 - 自学关注热度:13

这个不需要登录测试地址：http: demo1 515158 com index php在cookie中添加：toa_auth内容为：MQlkM2FmNTA5MzM1YmRlZjg3ZTcxZDBkY2M2OGNmNjNmOScsKFNlTGVjdCAxIEZST00gKHNlbGVjdCBjb3VudCgqKSxjb25jYXQoZmxvb3I..[详情]

江南科友HAC运维审计系统存在命令注入及暴路径关注热度:9

先说：非struts2。root权限，好爽的。不用登录，更爽的！HAC的登录界面截图如下：运维审计系统到底有多重要，就不用提了吧？有了这台服务器到底会有多少东西沦陷，这就不必说了。以..[详情]