- 首页 > 安全 > 网站安全 > 列表
- 0x01 注入漏洞简介注入漏洞是web应用中最常见的安全漏洞之一,由于一些程序没有过滤用户的输入,攻击者通过向服务器提交恶意的SQL查询语句,应用程序接收后错误的将攻击者的输入作为原始SQL查询语句的一部分执行, 2013-12-09
- XSS 叫跨站脚本攻击(Cross Site Script),那么XSS原本应该叫做CSS,但是由于CSS的简称已经被连级样式表 使用了,所以就换个称谓XSS。为什么叫做跨站脚本攻击呢?它的意思就是在别人的网站上嵌入脚本,而这个脚本 2013-12-09
- 上次 提交乌云 后 ,官网果断修补了、、、but,貌似不太彻底啊。直接说 方法吧~同样是修改 资料处。火狐 修改下 post包提交 CS_Name=aaaaaa CS_Email=a%40qq.com CS_Nichen=aaaaaa CS_Sex=0 CS_City=%C1%C9%C4%F 2013-12-09
- 漏洞出现在订单处理页面dorder.php。 代码如下: <?php//设置工程相对路径$root_path="./";require_once("$root_path/lib/config.php");require_once("$root_path/data/dconfig.php");if(isset($_POST[ #39;realna 2013-12-09
- E-AUTO X1 在安装后为删除install文件 可以进行绕过 然后重新安装系统 修复方案:安装后删除该文件夹或锁定禁止重复利用 2013-12-09
- 以 校无忧学校网站系统 V 2.1 为例到 admin/check.asp 文件看了下。。 if request("action")="login" then Username=trim(request("admin_name")) Password=trim(request("admin_pass"))end ifIf Instr(Userna 2013-12-09
- 通过搜索遍历获取36kr圈子创业者及投资人邮箱等信息。1.圈子里提交一个项目,然后可选择团队成员和投资人;通过搜索可获取所有成员邮箱地址。 2.通过抓包发现该搜索接口并未进行权限限制,无需登录即可获取成员及投 2013-12-09
- 百度云论坛存储型XSS一枚,窃取cookie是不是就等于窃取了百度帐号?进入个人空间,发表日志,Flash地址插入被转义的xss,浏览日志被触发: http://cnhonkerarmy.com/u0022/u003e/u003c/u0069/u0066/u0072/u0061/u 2013-12-09
- QQ空间存储XSS,访问用户空间首页自动触发 QQ空间,添加背景音乐,选择"添加网络背景音乐",任意输入Url,姓名,歌曲名等信息 拦截数据包,篡改url参数如下(两个xxx是当前用户qq号): POST http://qzone-music.qq.com/fcg 2013-12-09
- 一. 背景 (本来我前面有个漏洞已经分析过,但还未公开,为了腾讯的工作人员确认方便,再描述一遍) 关于flash的XSS,除了常见的一些技巧外,目前已知的比较偏门的两类是: 1.ExternalInterface.call的第二个参数,主要 2013-12-09
- 未对搜索的字符串做有效处理。虽然做了很多规则,比如HOOK了很多JS语法,检测到.com或.cn等js加载就返回到正常页面,但是,不常用域怎么不做过滤呢? poc: http://www.soso.com/q?w=r%3C/script%3E%3Cxstyle%3E%3 2013-12-09
- 问题站点:华为爱旅,hwtrip.smartcom.cc 1.注册两个用户XXX@sina.com和XXXX@sina.cn,使用@sina.com用户进行密码找回; 2.登陆邮箱获取密码重置链接; 3.系统仅仅校验了url请求中的各项值是否匹配,配置方可成功进 2013-12-09
- 简介众所周知,XML在产品和项目开发中起着非常重要的作用。通过XML文档可以获取很多信息,还可以使用XML文件进行CRUD(增加、查询、更新和删除)操作。然而值得注意的是,我们如何确保XML中的数据是来自经过认证的 2013-12-09
- 1、lnmp一键环境包0.9中有个pureftpd的安装选项,安装时同时会安装一个PHP的控制面板。但是很少有人注意这个面板的有个install.php脚本。访问路径为 http://www.2cto.com /ftp/install.php 2、这个安装脚本会在第五 2013-12-09
- 测试站点:www.vmall.com 1.注册一个用户(邮箱帐号xxxx@sina.com); 2.在个人信息里需要验证邮箱,点击验证邮箱抓包改写了下邮箱为xxxxx@qq.com并提交,发现提交成功了,登陆QQ邮箱成功收到系统的验证邮件; 2013-12-09
不看后悔!程序员防御XSS的无奈
揭秘Web黑客3种注入点判断方法
黑客Web脚本注入攻击深度剖析
全球无线网络面临黑客攻击风险 WiFi曝安全漏洞
粤公网安备 44060402001498号