如何检查网站是否有漏洞或是否被攻击过 - 网站关注热度:20

如何知道您的网站有没有漏洞呢？近来很多网站受到了各种各样形式的攻击，黑客攻击的动机各不一样，黑客人攻击的目标也有不确定性，作为一家企业的网管、或CEO您是否担心您的网..[详情]

浅谈WordPress程序的入侵思路和防御 - 网站安全关注热度:28

wp程序，广受国内外站长们的喜爱，也因此，wp程序的安全也是一直以来做的不错的，说到入侵wp博客，小菜也没经验，完全是找了些这类的文章看了下，然后自己在琢磨点思路，所以还..[详情]

Paypal的一个Dom型XSS漏洞分析 - 网站安全 - 自学p关注热度:22

DOM xss也称为第三种类型的xss或者类型0。现在DOM型的xss越来越多了，除了因为各种JS库比如YUI，Jquery，Jquery mobile等的使用，还有很多编程语言，比如php更多的支持了HTML5的特性。W3school的..[详情]

xss实例-什么都没过滤的情况 - 网站安全 - 自学关注热度:16

1 XSS的存在，一定是伴随着输入，与输出2个概念的。2 要想过滤掉XSS，你可以在输入层面过滤，也可以在输出层面过滤。3 如果输入和输出都没过滤。 那么漏洞将是显而易见的。4 作为第..[详情]

WEB第三方应用SQL语句安全规范 - 网站安全 - 自学关注热度:24

1 规范目的随着RDS用户的增多，越来越多的应用开始使用RDS数据进行数据存储，很多应用都直接或间接跟金钱相关，所以关于第三方应用WEB系统的代码安全、以及和SQL有关的编码规范变得..[详情]

php利用验证码防止恶意注册学习笔记 - 网站安全关注热度:25

代码如下?php 随机生成一个4位数的数字验证码$num=; for($i=0;$i4;$i++){ $num = rand(0,9); } 4位验证码也可以用rand(1000,9999)直接生成 将生成的验证码写入session，备验证页面使用..[详情]

深喉咙CMS(shlcms PHP)SQL注射0day - 网站安全 - 自学关注热度:32

（PS：这CMS的名字令人遐想)http: www shenhoulong com 隶属公司http: company loooe com Deepthroat content poll - index phpif ($request[ 39;vtype 39;]== 39;a 39;)57 {58 $db-query(UPD..[详情]

powershell写的一句话管理程序 - 网站安全 - 自学关注热度:17

自己根据程序恢复吧%Id = Request QueryString(Id)Select Case IdCase 1 39;004 rarImage = 526172211A0700CF907300000D00000000000000EFF57420902F00DE0000007E05000002B81C41EFEAAE353F1D330A00..[详情]

gitbucket1.8版本 关于readme.md的XSS漏洞 - 网站安全关注热度:22

最近在利用gitbucket用作项目开发中的代码托管工具。简单介绍一下gitbucket：gitbucket是一个仿github界面的代码托管工具。使用scala语言开发，利用jgit开源工具管理和操作git命令，内置了一..[详情]

PHP中的Session及其一些安全措施 - 网站安全 - 自学关注热度:13

有一点我们必须承认，大多数web应用程序都离不开session的使用。这篇文章将会结合php以及http协议来分析如何建立一个安全的会话管理机制。我们先简单的了解一些http的知识，从而理解..[详情]

Shopwind网店系统管理后台验证绕过漏洞 - 网站安全关注热度:15

shopwind网店系统后台验证不严，导致cookie欺骗0x00 在 admin 目录下的index asp文件中，包含了唯一一个认证文件如下!-- include file=admin_judge asp --0x01 同目录下的admin_judge asp内容如下，%..[详情]

ThinkSNS设计缺陷导致信息泄漏 - 网站安全 - 自学关注热度:16

ThinkSNS设计缺陷导致信息泄漏，弱密码害人害自。问题发生在 public memcache phpdefine( 39;ADMIN_USERNAME 39;, 39;admin 39;); Admin Usernamedefine( 39;ADMIN_PASSWORD 39;, 39;admin 39;)..[详情]

QQ空间某功能缺陷导致日志存储型XSS - 网站安全关注热度:22

QQ空间某功能缺陷导致日志存储型XSS，没有二哥的精彩分析，也没有什么精彩的绕过技术，just a xss新建一个日志，插入一首歌。歌曲所生成的flash是白名单。如：object allowscriptaccess=alwa..[详情]

快的打车短信轰炸加电话轰炸 - 网站安全 - 自学关注热度:24

问题出在这里http: kuaidadi com phone 填了号码，点击获取验证码，然后手机就会收到短信验证码，同时，还会有电话打过来（有木有很可怕）可以看到界面上是做了限制，60秒才可以发送一..[详情]

7天连锁酒店内部系统之主系统权限限制下的SQL注关注热度:19

为进入前台房店系统奠定了坚实基础http: inner 7daysinn cn FindHotel Default aspx内部系统某些功能通过把按钮禁用来限制权限这种方式形同虚设，通过浏览器把disabled参数删除即可使用。接下来..[详情]

金蝶云之家博客任意用户密码重置 - 网站安全关注热度:40

地址： http: kdweibo com home依次点击： 登陆--忘记登陆密码然后登陆邮箱查看重置链接是否存在缺陷上图中可看到，请求链接存在u和t的参数：尝试数次后可观察到，u是固定不变的，大概是..[详情]

IT168平台充值金币任意修改人民币数目 - 网站安全关注热度:16

1、IT168网站下载文档需要金币，重置金币需要人民币，如下：2、任意选择金币数，提交，修改一下人民币参数，如下：3、订单如下：4、点击去支付，就可以了：修复方案：增加验证机..[详情]

腾讯游戏人生页面泄漏QQ号 - 网站安全 - 自学ph关注热度:30

如果用户在游戏人生页面中分享过内容别人可以查找出该游戏人生用户所用的QQ号比如游戏人生主页:http: igame qq com qdrlennz用谷歌浏览器打开后审查元素,ctrl+F搜索 转发在转发前面有个UI..[详情]

搜狗分站一处验证码设计不当加sql注射 - 网站安关注热度:16

一处验证码设计不当，还有数据库显式报错。1、缺陷页面在这里http: haoma sogou com appeal html这里是一个申诉表单，看到最下面的那个验证码了吗？这里验证码是个客户端逻辑，我只能说略..[详情]

ThinkSAAS某功能设计不当可能导致可以csrf后台GET关注热度:13

首先这里存在问题的是后台系统管理的数据备份还原处。这里没有过滤sql参数，直接带入，拼接data baksql 目录，然后进入恢复数据这里在恢复是判断有没有分卷，没有分卷就直接恢复了..[详情]

Discuz! X3.1后台任意代码执行可拿shell - 网站安全关注热度:27

看有人问 Discuz! X3 1后台怎么拿shell，就下载了个看看，之前有人说HTML 生成能拿shell，我昨天官方网站下载的版本发现，静态文件的扩展名，限制了htm html 如果服务器不存在解析漏洞，就..[详情]

web常见攻击四 –不安全的验证码机制（Insecure关注热度:27

我是在dvwa（Damn Vulnerable Web App）上学到的这些东西，我把dvwa安装在了我的免费空间上，有兴趣的可以看看。DVWA想要用户名和密码的可以联系我：sq371426@163 comdvwa 用的验证是google提供的，..[详情]

web安全三——跨站请求伪造攻击（Cross Site Reque关注热度:26

1 暴力破解（Brute Force）：http: www 2cto com Article 201403 284282 html2 命令注入攻击（Command Injection Execution）：http: www 2cto com Article 201403 284294 htmlCSRF就是跨站请求伪造攻击，你..[详情]

web常见攻击二——命令注入攻击（Command Injectio关注热度:32

前面我介绍了暴力破解攻击（Brute Force），那只是web攻击中最常见的一种，今天我介绍下命令注入攻击。所谓的web命令攻击就是系统都用户输入的数据没有进行严格的过滤就使用，从而给..[详情]

十大工具及应用策略搞定OWASP热门威胁 - 网站安全关注热度:14

如果你以一位安全问题分析师的角度，已经花费了不少时间来寻求网页应用程序的安全保障方案，或者是以开发者的身份来探讨SDLC的实践应用，那么你很可能会对OWASP的十大工具感兴趣..[详情]

雅虎某分站的XSS导致雅虎邮箱沦陷 - 网站安全关注热度:44

0x00 前言很多时候我们会因为一个活动或者一些其它的原因建立一些临时的站点。但是糟糕的是一旦这一切过去后我们会忘了关闭它。就像我在http: hk promotions yahoo com上发现的这个漏洞一..[详情]

web常见攻击七–跨站脚本攻击（XSS） - 网站安全关注热度:21

我是在dvwa（Damn Vulnerable Web App）上学到的这些东西，我把dvwa安装在了我的免费空间上，有兴趣的可以看看。DVWA想要用户名和密码的可以联系我：sq371426@163 comdvwa 用的验证是google提供的，..[详情]

web常见攻击六——文件上传漏洞 - 网站安全 - 自关注热度:18

我是在dvwa（Damn Vulnerable Web App）上学到的这些东西，我把dvwa安装在了我的免费空间上，有兴趣的可以看看。DVWA想要用户名和密码的可以联系我：sq371426@163 comdvwa 用的验证是google提供的，..[详情]

SQL注入的基本原理和防御方法 - 网站安全 - 自学关注热度:16

SQL注入，这个词相信多数程序员都不陌生。而且可能都对这样的漏洞攻击有过修补的经验。本文主要还是写给一些新手程序员看，避免自己写的程序被黑客利用，提升安全性。下面以P..[详情]

web常见攻击一——暴力破解（Brute Force） - 网站安关注热度:44

本人也是php新手，也许写的有错，望大神指出。所谓的暴力破解攻击就是攻击者无限次尝试用户名和密码，试图登录网站。如果攻击者无限次的尝试，肯定会把密码尝试出来，所以我们..[详情]