显示不全请点击全屏阅读 DiY-Page创始于2005年2月末,是一个全新概念的自定制门户系统,使用它,可以轻松地将论坛变成一个准门户站点。最初它是由软件作者网站上自创的首页程序改进而成,经过不断的升...
Seay信息安全博客
Seay信息安全博客
Seay信息安全博客
代码审计:骑士(74)CMS几个注入漏洞产生源码分析
显示不全请点击全屏阅读 去年的文章了,Seay最近在看这套程序,觉得写的不错,就转过来留着。 整套程序过滤的还是比较全面的 不过所有版本都是GBK编码是他的硬伤 但是基本上字符串入库的时...
Seay信息安全博客
代码审计:在magic_quotes_gpc=off下绕过addslashes和p
显示不全请点击全屏阅读 在PHP6公布的一些资料上来看(现在主流PHP5和PHP4),register_globals、magic_quotes_gpc、safe_mode这三个选项将会不复存在,官方...
Seay信息安全博客
Anwsion问答系统 v1.1-Beta4 注入漏洞源码实例分析
显示不全请点击全屏阅读 因为耶稣的3hack是用的此程序, 答应了帮忙读读的, 但是限于一直没时间, 正好昨晚有时间就马上粗略的看了下 代码写的很规范, 对于我这种半路出家的人来说看着有点吃力, 尤其...
Seay信息安全博客
91736cms企业网站内容管理系统cookies注入漏洞分析
显示不全请点击全屏阅读 重新看了下91736之前那个getip的漏洞已经补上了. 漏洞文件:system/modules/member/index.php public function edit...
Seay信息安全博客
ShopEx4.85漏洞 收货地址可任意查看修改删除 |
显示不全请点击全屏阅读 普通会员登录网站后,通过恶意构造的URL可以实现对整个网站的收货地址查看、修改、和删除。 造成用户敏感隐私泄漏和网站不必要的损失。 详细说明: core/shop/contro...
Seay信息安全博客
某开源php程序的某安全漏洞引发的思考 |
显示不全请点击全屏阅读 看public_get_suggest_keyword 这个函数: /phpcms/modules/search/index.php中 public function publ...
Seay信息安全博客
介绍公司php漏洞挖掘与代码审计方法 |
显示不全请点击全屏阅读 在甲方公司做代码审计一般还是以白盒为主,漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露等。 1.xss + sql注入 ...
Seay信息安全博客
Zcncms1.2.8代码审计总结 文件包含漏洞与修复 |
显示不全请点击全屏阅读 先来个介绍: zcncms是站长中国基于php技术开发的内容管理系统,提供了内容编辑、关键词管理、广告管理、链接管理等模块和模型,程序的设计十分简洁并注重了二次开发的要求,可以...
Seay信息安全博客
PHP代码审计基础知识 对新手来说很精品哦 |
显示不全请点击全屏阅读 目录 1. 概述 3 2. 输入验证和输出显示 3 2.1 命令注入 4 2.2 跨站脚本 4 2.3 文件包含 5 2.4 代...
