首页 > 安全 > 网站安全 > 列表
  • XSS 叫跨站脚本攻击(Cross Site Script),那么XSS原本应该叫做CSS,但是由于CSS的简称已经被 连级样式表 使用了,所以就换个称谓XSS。为什么叫做跨站脚本攻击呢?它的意思就是在别人的网站上嵌入脚本,而这个脚本    2013-12-15
  • 漏洞类型:文件上传 利用方法 inurl:"/wp-content/themes/agritourismo-theme/"inurl:"/wp-content/themes/bordeaux-theme/"inurl:"/wp-content/themes/bulteno-theme/"inurl:"/wp-content/themes/oxygen-theme/"    2013-12-15
  • from:Remote Code Execution exploit in WordPress 3.5.1(ps:老外也有几分标题党的意思,虽然是wordpress本身留下的坑,但是目前的利用还是需要安装的插件踩到了这个坑,才会被利用成功,并且要进入后台 hell    2013-12-15
  • 引入:前面我们分2篇文章分别探讨了来自外部的XSS攻击和来自内部的XSS攻击,现在我们来专门探讨如何防范来自内部的XSS攻击。 实践:其实从 http://www.2cto.com/Article/201312/264736.html 文章中可以看出    2013-12-15
  • 利用榜单,推荐理由中的超链功能+大众点评移动门户网站的反射型xss,实现持久型XSS,可以获取到用户的cookie信息。 通过看似无危害的两个漏洞组合利用实现高危害的持久型XSS。 找到一个热门的商户,加入榜单,在    2013-12-13
  • CmsEasy是一款基于PHP+Mysql架构的网站内容管理系统,也是一个PHP开发平台。它采用模块化方式开发,功能易用便于扩展,可面向大中型站点提供重量级网站建设解决方案,目前CmsEasy已经越来越多地被应用到各大中型商    2013-12-13
  • 分析了下 漏洞播报:ShopXp网店系统 v3.x 越权+SQL注射 这个漏洞,顺便发到博客来吧。 漏洞存在于/admin/pinglun.asp 文件 <!--#include file="xp.asp"--><html><head><title><%=webname%>--用户评论</title><me    2013-12-13
  • 搜狗图片搜索功能未对图片url进行有效控制,导致可以利用其访问搜狗内网。 搜狗搜索图片功能,会根据url去访问相应服务器上的图片:但是这个功能没有对访问的url地址进行有效控制,如果提交类似下面这样的url,就可    2013-12-13
  • 测试的站:gss.hisense.com google了一下:看到这个站上有JBOSS应用,而且jmx-console可以未授权就能访问,想看看到底修复了没,结果发现还是可以部署webshell。测试发现很早那个和最近这个都存在。 1)jmx-consol    2013-12-13
  • 关于abcEditor的相关介绍:http://www.baidu.com/s?tn=baiduhome_pg ie=utf-8 bs=abcEditor f=8 rsv_bp=1 wd=abcEditor 最新版下载地址:http://down.chinaz.com/soft/33653.htm这个轻编辑器只有三个文件,唯一的P    2013-12-13
  • 这中间起到最关键作用的就是HttpServletRequestWrapper首先创建一个类继承HttpServletRequestWrapper。然后重写getAttribute,getParameter,getParameterValues,getParameterMap这几个方法。 public class OpReques    2013-12-12
  • source/index/shopse.php extract($_GET);//变量覆盖$gid=intval($_GET[ #39;gid #39;]);$gcate[$gid]=$gcate[$gid]?$gcate[$gid]:0;$_GET[ #39;a #39;]=$_GET[ #39;a #39;]?htmlspecialchars(trim($_GET[ #39;a #    2013-12-12
  • 后台的xp.asp没有过滤啊,前台进行过滤。 但是这个文件忘了做权限设置 注射点 http://192.168.1.106/admin/pinglun.asp?id=71 UNION SELECT 1,2,admin,4,5,6,7,8,9,password,11 from shopxp_admin 修复方案:权限    2013-12-12
  • 中粮WEB上权健控制的很不错了现在,但是移动端中粮我买网APP仍然存在越权行为。 IOS客户端任意用户地址删除和修改! 用户1:id=4798388 用户2 在ios app 上对地址簿进行修改操作同时抓包 修改此处id值为4798388    2013-12-12
  • 1、问题站点:http://www.516itravel.com/深航旅游网 2、在 查询及修改个人资料 抓包将用户名abbbbc篡改用户名为admin 3、篡改成功后可使用abbbbc原先的密码登录admin账号(怀疑是后台直接把abbbbc账户    2013-12-12
  • 貌似你们只过滤了<script>这个字符,问题在【知识库】 我要提问 标题插XSS代码,先来个弹窗吧 <img src=1 onerror=alert(1)> http://faq.xiaomi.cn/q-47162.html在分类中还可以弹窗 http://faq.xiaomi.cn/c-6.html    2013-12-12
  • 一般来讲,网站安全无非是服务器安全加固、网站安全加固、日常管理三个方面的内容,这儿以discuz论坛为例简单的介绍下服务器安全加固确保网站安全首先要保证服务器各项组件的安全,如discuz服务器的一般组件有    2013-12-12
  • 17k旗下书香中国 社区频道 http://125.39.193.136/ 在用户头像处,只对前端做了限制,服务器端无限制,可直接抓包改包上传jsp shell shellhttp://125.39.193.136/userHeadImg/2013/12/06/cd.jsp 数据库    2013-12-12
  • Kamkar近日在Github上发布了一款软件并附上指导教程,教你如何修改无人机设置,使之认证失效并对其进行攻击。该Perl软件名为SkyJack,运行在 Raspberry Pi上并使用其它开源软件来劫持飞行器。 这一新闻让我对此人非    2013-12-11
  • htmlspecialchars()函数只对 、 rsquo;、 、<、>符号进行转译成html特殊符号 我们可以通过url编码对带有连接的标记进行攻击: <a href="<?php echo htmlspecialchars("javascript:alert(1)",ENT_QUOTES);    2013-12-11
排行
热门
文章
新闻
系统
徽商
· 卡巴斯基郑启良:支持信创发展是卡巴斯基
· 零信任安全的演变:彻底改变网络安全策略
· 访问管理是确保现代工作场所安全的的五个
· 英国曼彻斯特大学遭遇网络攻击,机密数据
· GitHub上值得关注的20个网络安全项目
· 微软向美国政府提供GPT的大模型,安全性如
· 调查表明广告软件推送恶意软件感染了六万
· 如何保护OT环境免受安全威胁?
· 网络安全知识:什么是网络可见性?
· 法律与网络安全的融合:保卫数字前沿
· 支持软件供应链安全所需的十个安全工具类
· 保护零售业务的三项积极措施
· 事实表明目前的SaaS安全策略还远远不够
· 物联网和网络安全:不可阻挡的数字化转型
· 腾讯丁珂:以数字安全免疫力建设安全新范

关于我们 | 联系我们 | 广告服务 | 免责申明 | 作品发布 | 网站地图 | 官方微博 | 技术培训
Copyright © 2007-2023 Vm888.Com. All Rights Reserved
粤公网安备 44060402001498号 粤ICP备19097316号 请遵循相关法律法规