WordPress Js-Multi-Hotel 2.2.1 XSS / DoS漏洞 - 网站安全关注热度:10

Hello list! There are multiple vulnerabilities in Js-Multi-Hotel plugin for WordPress Earlier I wrote about two other vulnerabilities These are Abuse of Functionality, Denia..[详情]

浅析白盒安全审计中的XSS Fliter - 网站安全 - 自学关注热度:6

自己并不擅长xss，作为抛砖引玉的一篇总结文章，分享一下自己的见解，其实写出来感觉很惶恐。都是之前看M写的一些文章学到的姿势，在这里跪谢。我这里的绕过侧重于白盒审计，所..[详情]

360shop淘店通越权操作可获取其他用户敏感信息关注热度:5

360shop 最新版，淘店通2代，可查看，修改任意用户收货地址信息。测试站点为官方最新版演示站：http: zhangheng v2 taodiantong cn测试了官方案例，老版也存在同样注入。我们先在官方最新版..[详情]

瑞和科源智能出卷系统v6.0任意重置密码 - 网站安关注热度:11

重置密码有3个tab页面，分别是输入用户名，输入密码提示问题，设置新密码。步骤2输入密码提示问题可直接跳过http: zncj ncedu gov cn:8100 SelfCfg ResetPassWord aspx输入用户名admin然后直接点击..[详情]

yxcms任意文件删除致可被重新安装 - 网站安全 -关注热度:7

yxcms任意文件删除 导致的重新安装漏洞protected apps members contoller newscontroller phpif (empty($_FILES[ 39;picture 39;][ 39;name 39;]) === false){ $tfile=d..[详情]

百度网盘某处XSS漏洞可获取用户cookie - 网站安全关注热度:11

对于输出过滤不严导致XSS漏洞。首先，要有人评论。然后回复评论。收到通知，打开提醒。然后鼠标hover上去触发。弹个cookie。修复方案：过滤。。..[详情]

伪造修改头信息 XSS盲打得Cookies - 网站安全 - 自学关注热度:12

最近看了一本书，一个老外写的，其中有一篇关于【修改主机头，恶意攻击】【一些CMS的后台,有一个功能,可以显示访问者的客户端信息,比如说访问者的浏览器版本,或者访问者使用的..[详情]

PHP168 6.0及以下版本login.php存重大安全漏洞 - 网站关注热度:8

问题很大，最好不要忽视。。。。利用代码将php木马插入到cache 目录里轻松获得webshell，可批量。利用搜索引擎搜索Powered by php168 v6或者一下版本v5、v4、v3、v2、v1会搜索到很多很多相关的..[详情]

Chrome 是怎么过滤反射型 XSS 的呢？ - 网站安全关注热度:16

首先要说明的是它是webkit的一个模块,而非chrome,所以Safari和360安全浏览器极速模式等webkit内核的浏览器都有XSS过滤功能 过滤方式:通过模糊匹配 输入参数(GET query| POST form data| Location frag..[详情]

如何从网站开发角度提高php安全漏洞的防范 - 网关注热度:8

目前PHP因其功能强大、入门简单、代码执行效率高等优点，成为了Web应用开发的流行语言。由于使用广泛，所以利用PHP安全漏洞对Web网站进行的攻击也越来越多，这给Web应用的安全带来..[详情]

ShopEx分销平台sql注入漏洞导致用户信息泄露 - 网关注热度:17

注入点：http: www fengxiaowang cn:80 article php?aa_id=* (GET)sqlmap identified the following injection points with a total of 184 HTTP(s) requests:---Place: URIParameter: 1*..[详情]

ShopEx短信通系统sql注入（POST） - 网站安全 - 自学关注热度:10

ShopEx无线营销系统，1400多个库网站：http: live shopex cn 注入点http: live shopex cn:80 index php passport passport sel_region (POST)参数p_region_idsqlmap identified the following injection..[详情]

大汉版通JCMS数据库配置文件读取漏洞 - 网站安全关注热度:17

大汉JCMS内容管理系统由于对文件读取时没有对文件路径进行过滤，导致可以直接直接读取数据库配置文件，可导致数据库泄露或者getshell由于读取xml文件时没有对传进的参数进行过滤，..[详情]

新浪邮箱存储型XSS（字符集缺陷） - 网站安全关注热度:11

触发条件比较苛刻，但还是觉得应该提交一下先说一下字符集缺陷的问题 字符集[ISO-2022-KR]会把以 x0E;开头 x0F;结尾的一串字符看作是2 bytes也就是一个字符。换句话来说，它可以帮助我们..[详情]

瑞丽网APP应用API接口又一处注射 - 网站安全 - 自关注热度:15

瑞丽网IPHONE端 APP应用接口存在注入，可能会导致用户信息受到威胁，通过漏洞可以通过变量读取服务器信息，望管理员速度修复,防止被他人恶意利用。POST rlw getTopic php HTTP 1 1Host: api r..[详情]