2017-04-25 閱讀(890)

2017年4.14日晚上，国外影子中间人组织(也称为方程式组织），Shadow Brokers黑客组织公开此次windows 众多安全漏洞，包括windows 2003 windows2008 windows2012系统的服务器，都存在着被黑客入侵攻击...

2016-12-28 閱讀(358)

WordPress的Clockstone主题和其他主题存在文件上传漏洞。存在该漏洞的原因是由于问题代码对已登录的用户没有进行身份验证操作。攻击者可通过上传任意文件到受害者站点，进而获取站点...

2013-02-14 閱讀(146)

前段时间，天涯论坛社区爆出xss跨站漏洞，可以任意截取用户的cookies.漏洞如下图： 投票标题处可以直接把script标签加载到外部JS。 成功加载js，截取某些论坛用户的cookies....

2013-02-14 閱讀(262)

dedecms search.php 漏洞EXP...

2013-02-14 閱讀(163)

详细的利用方法，用火狐tamper data插件……..即可改post内容….. 先注册账户，随便选个商品进购物车，然后填地址，电话什么的，填好开始抓包，改包就会回显错误页面了。。。。 我自己没用...

2013-02-14 閱讀(227)

HDwiki管理员没有后台文件和数据库操作的权限,但是却可以直接添加超级管理员账号,而超级管理员权限很大,可以在后台进行上述操作,可能会引发一些安全问题....

2013-02-14 閱讀(210)

phpweb所有的整站程序伪静态页面都存在sql注入 ...

2013-02-14 閱讀(264)

我们知道parse_str类似将http请求转换成php变量的函数，所以，也像http请求在php的环境下一样，如果提交?a=sss&a=aaa，那么a的结果会是aaa，不是sss。所以我们知道这个函数有一个问题了，如果后面提...

2013-02-14 閱讀(202)

近在研究代码审计,便去chinaz 找了个人气比较高的 cms,本文适合我等刚入门滴人士 文档下载地址: http://115.com/file/e776qbw0# Ue批量查了一下源码 整个系统都在注入 注入 额,单引号啊,还需要...

2013-02-14 閱讀(218)

测试了一下，这里记录一下结果： 1、使用网上的poc，在java6u23，java6b13, java7u6下分别测试。（为什么要测试java6u13，原因是SunToolkit.getField方法在低版本java6中也是public 的，所以测试看看...