超过16W的WordPress网站被用来做DDoS攻击

路人甲 / 2014-03-13

任何开启了Pingback(默认就开启)的WordPress的站点可以被用来做DDOS攻击其它服务器。

看如下日志:

DedeCMS最新通杀注入(buy_action.php)漏洞分析

路人甲 / 2014-02-28

前两天,乌云白帽子提交了两个DedeCMS的通杀注入漏洞,闹得沸沸扬扬,25号织梦官方发布了补丁,于是就下载最新代码回来做了对比,这里简单的分析下其中的一个注入。

L

PHP漏洞挖掘思路+实例 第二章

lxj616 / 2014-02-25

感谢各位的评论与讨论,经过研讨的地方在文章中标出。

先翻译整理一篇英文paper,后面再填上自己新发现的例子,先思路再实例 O(∩_∩)O

补充之前第一篇文章中思路,重新加入了最近发现的一些实例(也有部分来自wooyun上的牛人们已公开的漏洞,漏洞归属原作者并均在文章内标明)

L

PHP漏洞挖掘思路+实例

lxj616 / 2013-12-27

最近研究PHP漏洞的挖掘,总结了一些我挖到的漏洞,整理了一下思路,求各路神人补充、批评、指导~

本文所有示例均来自我在乌云上已由厂商允许公开的漏洞

由于是实例的分析,基础知识请百度,就不全都粘贴到前面了

WordPress 3.5.1远程代码执行EXP

瞌睡龙 / 2013-12-12

(ps:老外也有几分标题党的意思,虽然是wordpress本身留下的坑,但是目前的利用还是需要安装的插件踩到了这个坑,才会被利用成功,并且要进入后台……感谢horseluke帮忙测试并翻译EXP与总结部分。)

php4fun.sinaapp.com PHP挑战通关攻略

八折 / 2013-10-10

在单引号内的mysql注入,核心就是逃脱单引号,要么生成一个(htmlentities了单引号,不太可能),要么...干掉一个。

F

PHP非字母数字の代码

F0urT33n / 2013-08-22

From:http://insert-script.blogspot.com/2012/12/php-non-alpha-numeric-76-chars.html

如果你对PHP中非字母和数字的字符并不了解,请猛击后面的教程: Tutorial.

PHP安全编码

瞌睡龙 / 2013-06-03

即使是最普通的字母数字输入也可能是危险的,列举几个容易引起安全问题的字符:

! $ ^ & * ( ) ~ [ ] \ | { } ' " ; < > ? - `
投稿

随机分类

安全开发 文章:83 篇
运维安全 文章:62 篇
安全管理 文章:7 篇
iOS安全 文章:36 篇
软件安全 文章:17 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Article_kelp

因为这里的静态目录访功能应该理解为绑定在static路径下的内置路由,你需要用s

N

Nas

师傅您好!_static_url_path那 flag在当前目录下 通过原型链污

Z

zhangy

你好,为什么我也是用windows2016和win10,但是流量是smb3,加密

0

0x0dee

标题写错了,是ASX to MP3 3.1.3.7 - '.m3u' Local

K

k0uaz

foniw师傅提到的setfge当在类的字段名成是age时不会自动调用。因为获取

RSS订阅