超过16W的WordPress网站被用来做DDoS攻击

路人甲 / 2014-03-13

任何开启了Pingback(默认就开启)的WordPress的站点可以被用来做DDOS攻击其它服务器。

看如下日志:

DedeCMS最新通杀注入(buy_action.php)漏洞分析

路人甲 / 2014-02-28

前两天,乌云白帽子提交了两个DedeCMS的通杀注入漏洞,闹得沸沸扬扬,25号织梦官方发布了补丁,于是就下载最新代码回来做了对比,这里简单的分析下其中的一个注入。

L

PHP漏洞挖掘思路+实例 第二章

lxj616 / 2014-02-25

感谢各位的评论与讨论,经过研讨的地方在文章中标出。

先翻译整理一篇英文paper,后面再填上自己新发现的例子,先思路再实例 O(∩_∩)O

补充之前第一篇文章中思路,重新加入了最近发现的一些实例(也有部分来自wooyun上的牛人们已公开的漏洞,漏洞归属原作者并均在文章内标明)

L

PHP漏洞挖掘思路+实例

lxj616 / 2013-12-27

最近研究PHP漏洞的挖掘,总结了一些我挖到的漏洞,整理了一下思路,求各路神人补充、批评、指导~

本文所有示例均来自我在乌云上已由厂商允许公开的漏洞

由于是实例的分析,基础知识请百度,就不全都粘贴到前面了

WordPress 3.5.1远程代码执行EXP

瞌睡龙 / 2013-12-12

(ps:老外也有几分标题党的意思,虽然是wordpress本身留下的坑,但是目前的利用还是需要安装的插件踩到了这个坑,才会被利用成功,并且要进入后台……感谢horseluke帮忙测试并翻译EXP与总结部分。)

php4fun.sinaapp.com PHP挑战通关攻略

八折 / 2013-10-10

在单引号内的mysql注入,核心就是逃脱单引号,要么生成一个(htmlentities了单引号,不太可能),要么...干掉一个。

F

PHP非字母数字の代码

F0urT33n / 2013-08-22

From:http://insert-script.blogspot.com/2012/12/php-non-alpha-numeric-76-chars.html

如果你对PHP中非字母和数字的字符并不了解,请猛击后面的教程: Tutorial.

PHP安全编码

瞌睡龙 / 2013-06-03

即使是最普通的字母数字输入也可能是危险的,列举几个容易引起安全问题的字符:

! $ ^ & * ( ) ~ [ ] \ | { } ' " ; < > ? - `
投稿

随机分类

软件安全 文章:17 篇
PHP安全 文章:45 篇
安全开发 文章:83 篇
iOS安全 文章:36 篇
后门 文章:39 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Z

ZZZZZZ

好像不是,还是这样

Z

ZZZZZZ

找到问题了。。。。json文件里有几个//

Z

ZZZZZZ

大佬,提示"java.lang.Exception: Json解析出现异常�?D

L

lris

链接失效了,可以再分享下吗~

WT_Elf

写的很不错的说!!点赞,不过的是我猜测加空格绕过__proto__的原因是因为m

RSS订阅