金蝶云之家博客任意用户密码重置 - 网站安全关注热度:14

地址： http: kdweibo com home依次点击： 登陆--忘记登陆密码然后登陆邮箱查看重置链接是否存在缺陷上图中可看到，请求链接存在u和t的参数：尝试数次后可观察到，u是固定不变的，大概是..[详情]

IT168平台充值金币任意修改人民币数目 - 网站安全关注热度:12

1、IT168网站下载文档需要金币，重置金币需要人民币，如下：2、任意选择金币数，提交，修改一下人民币参数，如下：3、订单如下：4、点击去支付，就可以了：修复方案：增加验证机..[详情]

腾讯游戏人生页面泄漏QQ号 - 网站安全 - 自学ph关注热度:15

如果用户在游戏人生页面中分享过内容别人可以查找出该游戏人生用户所用的QQ号比如游戏人生主页:http: igame qq com qdrlennz用谷歌浏览器打开后审查元素,ctrl+F搜索 转发在转发前面有个UI..[详情]

搜狗分站一处验证码设计不当加sql注射 - 网站安关注热度:12

一处验证码设计不当，还有数据库显式报错。1、缺陷页面在这里http: haoma sogou com appeal html这里是一个申诉表单，看到最下面的那个验证码了吗？这里验证码是个客户端逻辑，我只能说略..[详情]

ThinkSAAS某功能设计不当可能导致可以csrf后台GET关注热度:9

首先这里存在问题的是后台系统管理的数据备份还原处。这里没有过滤sql参数，直接带入，拼接data baksql 目录，然后进入恢复数据这里在恢复是判断有没有分卷，没有分卷就直接恢复了..[详情]

Discuz! X3.1后台任意代码执行可拿shell - 网站安全关注热度:23

看有人问 Discuz! X3 1后台怎么拿shell，就下载了个看看，之前有人说HTML 生成能拿shell，我昨天官方网站下载的版本发现，静态文件的扩展名，限制了htm html 如果服务器不存在解析漏洞，就..[详情]

web常见攻击四 –不安全的验证码机制（Insecure关注热度:12

我是在dvwa（Damn Vulnerable Web App）上学到的这些东西，我把dvwa安装在了我的免费空间上，有兴趣的可以看看。DVWA想要用户名和密码的可以联系我：sq371426@163 comdvwa 用的验证是google提供的，..[详情]

web安全三——跨站请求伪造攻击（Cross Site Reque关注热度:17

1 暴力破解（Brute Force）：http: www 2cto com Article 201403 284282 html2 命令注入攻击（Command Injection Execution）：http: www 2cto com Article 201403 284294 htmlCSRF就是跨站请求伪造攻击，你..[详情]

web常见攻击二——命令注入攻击（Command Injectio关注热度:21

前面我介绍了暴力破解攻击（Brute Force），那只是web攻击中最常见的一种，今天我介绍下命令注入攻击。所谓的web命令攻击就是系统都用户输入的数据没有进行严格的过滤就使用，从而给..[详情]

十大工具及应用策略搞定OWASP热门威胁 - 网站安全关注热度:9

如果你以一位安全问题分析师的角度，已经花费了不少时间来寻求网页应用程序的安全保障方案，或者是以开发者的身份来探讨SDLC的实践应用，那么你很可能会对OWASP的十大工具感兴趣..[详情]

雅虎某分站的XSS导致雅虎邮箱沦陷 - 网站安全关注热度:16

0x00 前言很多时候我们会因为一个活动或者一些其它的原因建立一些临时的站点。但是糟糕的是一旦这一切过去后我们会忘了关闭它。就像我在http: hk promotions yahoo com上发现的这个漏洞一..[详情]

web常见攻击七–跨站脚本攻击（XSS） - 网站安全关注热度:16

我是在dvwa（Damn Vulnerable Web App）上学到的这些东西，我把dvwa安装在了我的免费空间上，有兴趣的可以看看。DVWA想要用户名和密码的可以联系我：sq371426@163 comdvwa 用的验证是google提供的，..[详情]

web常见攻击六——文件上传漏洞 - 网站安全 - 自关注热度:9

我是在dvwa（Damn Vulnerable Web App）上学到的这些东西，我把dvwa安装在了我的免费空间上，有兴趣的可以看看。DVWA想要用户名和密码的可以联系我：sq371426@163 comdvwa 用的验证是google提供的，..[详情]

SQL注入的基本原理和防御方法 - 网站安全 - 自学关注热度:10

SQL注入，这个词相信多数程序员都不陌生。而且可能都对这样的漏洞攻击有过修补的经验。本文主要还是写给一些新手程序员看，避免自己写的程序被黑客利用，提升安全性。下面以P..[详情]

web常见攻击一——暴力破解（Brute Force） - 网站安关注热度:14

本人也是php新手，也许写的有错，望大神指出。所谓的暴力破解攻击就是攻击者无限次尝试用户名和密码，试图登录网站。如果攻击者无限次的尝试，肯定会把密码尝试出来，所以我们..[详情]