起风网
摩登天空任意订单越权修改 – 网站安全 – 自学p
听说摩登天空送门票,赶紧滚来了。求今年门票!曼玉!女神!我来了!( 漏洞演示使用的是自己的测试账户) 详细说明: 故事是这样的,从前有一个帅比和一个丑比。 一个帅比买了一张谢天笑,收货地址是海淀公园: ...
联想Lenovo某crm的Portal管理界面注入 – 网站安全
联想 Lenovo Portal 管理平台登录页面存在注入 admin’ and 1=(select @@version)– 进一步检测发现 tbpwd 和 tbuser 都存在注入,密码框存在注入 保存明文吧? 默...
taocms 一处sql盲注 – 网站安全 – 自学php
比较尴尬的是,猜测由于官网使用了memcache,因此盲注失败了。。。 Taocms的Sql注射一枚可以无视GPC :http://www.2cto.com/Article/201406/309080.html ...
和讯网分站sql注入外加敏感信息泄露 – 网站安全
和讯网分站sql注入外加敏感信息泄露一处注入点…外加一个敏感信息的泄露…、、、、 http://licaike.hexun.com/GjzDetail.action?prodCode=400008&prodT...
某国外成人网站系统通用型SQL注入漏洞 – 网站安
通过测试此版本均有SQL注入 漏洞 但网站程序需要购买所以不清楚版本号 通过读取 数据库server表可以得到ftp地址和用户密码 起因是因为国内某绅士网站观看学习视频需要积分,于是找到了视频播放页面就可以绕过积分限制了,后来...
discuz7.2 faq.php最新注入漏洞分析 – 网站安全 – 自学
之前乌云上被提交的 漏洞,今天突然被人发出来了,然后就各种中枪。奈何各种考试马上就来了,我也没工夫去写exp或脚本什么的,趁点休息时间把代码看看就好。实话说我很讨厌这种情况,一大堆人会的不会的拿着别人发的exp刷漏洞,刷分刷钱。...
PPTV设计缺陷可导致用户邮箱手机泄漏 – 网站安全
PPTV用户邮箱手机泄漏,能够在攻击中直接获取用户重要信息。访问找回密码页面: 使用test测试帐号,找回密码,在页面显示为正常的加*号的手机信息: 但是在源码中显示了用户真是的邮箱和密码信息: 修复方案: 在服务器端,保存用...
浅入浅出SQL注入 – 网站安全 – 自学php
已经开始了学习牛腩新闻发布系统,在讲后台代码的时候讲了一些重构SQLHelper 的知识,存储过程和触发器等,这些以前都是接触过的。而 SQL 注入...
php-mysql-sleep-benchmark注入引起的攻击 – 网站安全
sleep函数 benchmark函数 存入注入的危害 mysql如果存在注入,并且注入的sleep语句如果传入一个足够大的参数,比如:sleep(9999999999).如果数据库用的是myisam引擎,且注入点是某个会锁表的...
金迪邮件系统任意用户劫持到添加系统管理员
金迪邮件系统,JDMAIL 此邮件系统存在多处设计缺陷高危漏洞。 0x001 任意用户劫持 此邮件系统,在登陆后url中有一个8或者9位的字符串,如45e22a8H7 这个字符串就是登陆的凭证,当登录后,只要拿到这个字符串就可以直接登陆此用...