2017-07-06 阅读(2291)

ThinkPHP 5.0是目前最新的版本，历经多年的升级完善，深受网站设计公司 的喜欢，在互联网上也是一个开源的，免费、多个功能插件、API接口功能强悍的PHP 语言开发的一款程序，ThinkPH...

2017-06-29 阅读(1617)

74CMS骑士系统是以Thinkphp语言+MYSQL数据库开发为基础的一个开源代码，人才招 聘的开源系统，高效稳定，国内的人才平台方面，使用客户范围比较广泛，目前国内许 多人才平台用的都是...

2013-02-14 阅读(269)

前段时间，天涯论坛社区爆出xss跨站漏洞，可以任意截取用户的cookies.漏洞如下图： 投票标题处可以直接把script标签加载到外部JS。 成功加载js，截取某些论坛用户的cookies....

2016-12-28 阅读(1130)

WordPress的Clockstone主题和其他主题存在文件上传漏洞。存在该漏洞的原因是由于问题代码对已登录的用户没有进行身份验证操作。攻击者可通过上传任意文件到受害者站点，进而获取站点...

2013-02-14 阅读(873)

我们知道parse_str类似将http请求转换成php变量的函数，所以，也像http请求在php的环境下一样，如果提交?a=sss&a=aaa，那么a的结果会是aaa，不是sss。所以我们知道这个函数有一个问题了，如果后面提...

2013-02-14 阅读(402)

近在研究代码审计,便去chinaz 找了个人气比较高的 cms,本文适合我等刚入门滴人士 文档下载地址: http://115.com/file/e776qbw0# Ue批量查了一下源码 整个系统都在注入 注入 额,单引号啊,还需要...

2013-02-14 阅读(417)

测试了一下，这里记录一下结果： 1、使用网上的poc，在java6u23，java6b13, java7u6下分别测试。（为什么要测试java6u13，原因是SunToolkit.getField方法在低版本java6中也是public 的，所以测试看看...

2013-02-14 阅读(564)

HDwiki管理员没有后台文件和数据库操作的权限,但是却可以直接添加超级管理员账号,而超级管理员权限很大,可以在后台进行上述操作,可能会引发一些安全问题....

2013-02-14 阅读(469)

详细的利用方法，用火狐tamper data插件……..即可改post内容….. 先注册账户，随便选个商品进购物车，然后填地址，电话什么的，填好开始抓包，改包就会回显错误页面了。。。。 我自己没用...

2013-02-14 阅读(675)

本文主要介绍针对PHP网站Session劫持。session劫持是一种比较复杂的攻击方法。大部分互联网上的电脑多存在被攻击的危险。这是一种劫持tcp协议的方法，所以几乎所有的局域网，都存在...