超过16W的WordPress网站被用来做DDoS攻击

路人甲 / 2014-03-13

任何开启了Pingback(默认就开启)的WordPress的站点可以被用来做DDOS攻击其它服务器。

看如下日志:

DedeCMS最新通杀注入(buy_action.php)漏洞分析

路人甲 / 2014-02-28

前两天,乌云白帽子提交了两个DedeCMS的通杀注入漏洞,闹得沸沸扬扬,25号织梦官方发布了补丁,于是就下载最新代码回来做了对比,这里简单的分析下其中的一个注入。

L

PHP漏洞挖掘思路+实例 第二章

lxj616 / 2014-02-25

感谢各位的评论与讨论,经过研讨的地方在文章中标出。

先翻译整理一篇英文paper,后面再填上自己新发现的例子,先思路再实例 O(∩_∩)O

补充之前第一篇文章中思路,重新加入了最近发现的一些实例(也有部分来自wooyun上的牛人们已公开的漏洞,漏洞归属原作者并均在文章内标明)

L

PHP漏洞挖掘思路+实例

lxj616 / 2013-12-27

最近研究PHP漏洞的挖掘,总结了一些我挖到的漏洞,整理了一下思路,求各路神人补充、批评、指导~

本文所有示例均来自我在乌云上已由厂商允许公开的漏洞

由于是实例的分析,基础知识请百度,就不全都粘贴到前面了

WordPress 3.5.1远程代码执行EXP

瞌睡龙 / 2013-12-12

(ps:老外也有几分标题党的意思,虽然是wordpress本身留下的坑,但是目前的利用还是需要安装的插件踩到了这个坑,才会被利用成功,并且要进入后台……感谢horseluke帮忙测试并翻译EXP与总结部分。)

php4fun.sinaapp.com PHP挑战通关攻略

八折 / 2013-10-10

在单引号内的mysql注入,核心就是逃脱单引号,要么生成一个(htmlentities了单引号,不太可能),要么...干掉一个。

F

PHP非字母数字の代码

F0urT33n / 2013-08-22

From:http://insert-script.blogspot.com/2012/12/php-non-alpha-numeric-76-chars.html

如果你对PHP中非字母和数字的字符并不了解,请猛击后面的教程: Tutorial.

PHP安全编码

瞌睡龙 / 2013-06-03

即使是最普通的字母数字输入也可能是危险的,列举几个容易引起安全问题的字符:

! $ ^ & * ( ) ~ [ ] \ | { } ' " ; < > ? - `
投稿

随机分类

Android 文章:89 篇
业务安全 文章:29 篇
数据分析与机器学习 文章:12 篇
CTF 文章:62 篇
硬件与物联网 文章:40 篇

扫码关注公众号

WeChat Offical Account QRCode

最新评论

Yukong

🐮皮

H

HHHeey

好的,谢谢师傅的解答

Article_kelp

a类中的变量secret_class_var = "secret"是在merge

H

HHHeey

secret_var = 1 def test(): pass

H

hgsmonkey

tql!!!

RSS订阅