起风网OASIS Web服务安全之安全令牌 – 网站安全 – 自学p
在追寻Web服务安全方面,有两个主要的方法。W3C采用加密和XML方法来确保来自Web服务的数据不会被拦截。OASIS(WS-I也将其前期工作交给OASIS)采用基于安全口令的方法来保证只有通过认证的用户才能够访问Web服务。上个月我们着重...
腾讯游戏人生页面泄漏QQ号 – 网站安全 – 自学ph
如果用户在游戏人生页面中分享过内容别人可以查找出该游戏人生用户所用的QQ号 比如游戏人生主页:http://igame.qq.com/qdrlennz 用谷歌 浏览器打开后审查元素,ctrl+F搜索 转发 在转发...
ECSHOP后台getshell – 网站安全 – 自学php
admin/edit_languages.php elseif ($_REQUEST['act'] == 'edit') { /* 语言项的路径 */ $lang_file = isset($_POST['file_path'...
QQ邮箱存某处储型xss – 网站安全 – 自学php
回复邮件时可能执行任意代码 直接用了innerHTML……吐槽无力 上一篇: 绕过安全狗用户限制提权 – 网站安全 – 自学php 下一篇: 百度网盘某处XSS漏洞可获取用户...
浅析白盒审计中的字符编码及SQL注入 – 网站安全
尽管现在呼吁所有的程序都使用unicode编码,所有的网站都使用utf-8编码,来一个统一的国际规范。但仍然有很多,包括国内及国外(特别是非英语国家)的一些cms,仍然使用着自己国家的一套编码,比如gbk,作为自己默认的编码类型。也有一些c...
探索比邻妹子修改任意用户信息 – 网站安全 – 自
探索比邻妹子修改任意用户信息可以修改任意用户的个人信息。 某哥们要是手一哆嗦就全改了。现在的时间已经可以说明,没错、我失眠了。 在看完一部电影(XX女),突然提及“比邻”只给陌生人打电话。 作为一个终极屌丝,居然不知道有这款软件我感觉羞愧。...
微博应用未进行权限验证漏洞 – 网站安全 – 自学
微博应用”App营销”未进行权限验证。导致任何人可查看后台数据和对其进行操作 微博应用”App营销”未进行权限验证。任何人可以穿越到其他人的账户查看其他人账户资金余额,并可对其进行操作,如直接...
摩登天空任意订单越权修改 – 网站安全 – 自学p
听说摩登天空送门票,赶紧滚来了。求今年门票!曼玉!女神!我来了!( 漏洞演示使用的是自己的测试账户) 详细说明: 故事是这样的,从前有一个帅比和一个丑比。 一个帅比买了一张谢天笑,收货地址是海淀公园: ...
联想Lenovo某crm的Portal管理界面注入 – 网站安全
联想 Lenovo Portal 管理平台登录页面存在注入 admin’ and 1=(select @@version)– 进一步检测发现 tbpwd 和 tbuser 都存在注入,密码框存在注入 保存明文吧? 默...
taocms 一处sql盲注 – 网站安全 – 自学php
比较尴尬的是,猜测由于官网使用了memcache,因此盲注失败了。。。 Taocms的Sql注射一枚可以无视GPC :http://www.2cto.com/Article/201406/309080.html ...