当前位置 :首页 > 学院 > 信息安全 > 网站安全 > 列表
[网站安全]网站服务器遭受攻击后的应对方案2016-02-22 21:31:54
常在河边走,哪有不湿鞋?运营电子商务网站的朋友,我想对黑客攻击不会不熟悉,不管是小黑客,还是大黑客,是菜鸟还是老鸟,他们总会带来各种各样大大小小的威胁,有时因为个人疏忽原因或者出现0day漏洞,导致了网站服务器被入侵,服务器上所有的网站都被黑客们篡改了,这时我们该如何应对呢?今天员跃科技给各位电商站长朋友来讲讲服务器被入侵后的处理方法。...
[网站安全]有货官方某接口设计不当可平行越权修改他人资料及订单等2015-07-13 02:58:28
晚上在家装android studio,哎不说了都是泪,“网络不好”,你懂得。详细说明:打开手机APP,逛下潮店“有货”,发现平行越权了,汗1 下载个官方APP,查看自己的购物车,然后burp修改uid,爆破遍历,看存在哪些...
[网站安全]中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息2015-07-13 02:58:28
中兴某子公司商城APP应用任意用户密码重置及越权访问大量敏感信息详细说明:http: www zteup com view toindex中兴尚品网,一个购物网站,该网站的APP应用存在诸多问题,泄露大量敏感信息,任意用户密码重置。扫...
[网站安全]运动加加(注册服务器)官网Getshell(含数据库信息以及配置)2015-07-13 02:58:28
运智互动是中国智能电视游戏领域的先行者与开拓者。从2009年成立至今,我们的主要产品“运动加加”已经成为领域内最受欢迎,且安装量最高的体感游戏。 运动加加(注册服务器)官网Getshell!详细说明:http: a...
[网站安全]js小脚本――判断小弹窗和用户浏览器类型2015-07-13 02:58:11
1 弹窗,让用户选择是否继续进行下一步html>body>script type="text JavaScript"> var r=confirm("此系统仅支持chrom浏览器!IE、firefox不兼容!是否继续?"); if (r==false) { window history back(-1)...
[网站安全]常见的网站攻击方式和防护方法(小白通俗篇)2015-07-13 02:58:11
作为站长兢兢业业的编辑推广,辛辛苦苦才收点广告费,网站流量大了便会时常面对黑客的攻击,我的网站遭遇了两次因攻击死亡或瘫痪的经历,第一次是织梦CMS被博彩整站篡改网站死亡,第二次是刚刚经历的流量攻击网站...
[网站安全]JBoss JMXInvokerServlet JMXInvoker 0.3远程命令执行漏洞2015-07-13 02:58:11
** JBoss JMXInvokerServlet Remote Command Execution* JMXInvoker java v0 3 - Luca Carettoni @_ikki** This code exploits a common misconfiguration in JBoss Application Server...
[网站安全]web攻击日志分析之新手指南2015-07-13 02:58:11
这是经常发生的情况:web应用出于不同的原因面对着可疑的活动,比如一个小孩使用自动化漏洞扫描器扫描web站点或者一个家伙试图模糊测试(fuzz)一个参数用以SQL注入等等。在许多这样的情况中,要分析web服务器上...
[网站安全]爱丽网某站mysql注入2015-07-13 02:58:11
详细说明:网站:m aili cominfo 和emil都存在注入,两个点结合才能利用首先是报错注入code 区域POST setting feedback ?c=wap&m=setting&a=feedback HTTP 1 1Referer: http: m aili com setting feedbac...
[网站安全]WordPress某插件全版本存储型XSS可打后台影响3万多站点2015-07-13 02:58:11
等公开吧,我觉得利用门槛挺低的,而且可以批量详细说明:今天我像往常一样进自己的博客后台,打开SEO Redirection这个插件的设置界面查看网站的redirect情况,看是否有谁扫我的站或者又来了哪些爬虫。由于我把...
[网站安全]中兴某站奇葩文件上传绕过GetShell2015-07-13 02:58:11
搞了半天终于传上去了,来个首页吧~详细说明:code 区域http: www appstar com cn中兴应用之星网站,看见有人报过常规的文件上传绕过漏洞code 区域 WooYun: 中兴某网站文件上传绕过漏洞GetShell 目前已经修...
[网站安全]华三某管理系统后台SQL post注入漏洞(直接获取敏感数据)2015-07-13 02:58:11
不知道和之前的人重复否详细说明:http: asc h3c com 漏洞证明: 修复方案:sql语句拼接...
[网站安全]花瓣网全站点多处功能设计缺陷导致跨站请求伪造(CSRF)(可利用私信功能影响全站注册用户)2015-07-13 02:58:11
花瓣网全站点多处功能设计缺陷导致跨站请求伪造(CSRF)(可利用私信功能影响全站注册用户)。详细说明:花瓣网全站点多处功能设计缺陷导致跨站请求伪造(CSRF)。poc全部在下方。本次影响范围:(包括但不限于)网站用...
[网站安全]看国外白帽子如何黑掉Uber网站2015-07-13 02:57:53
概述:Uber通过电子邮件让我在他们的请愿书上签名。于是,我签了,而且签了10万多次。然后, 我把Uber网站黑了。得有人关注这事儿了。即使不是技术人员,也可以按照以下指导为几乎每个在线的请愿或竞赛签名10万...
[网站安全]慕课网设置不当可重置任意用户密码2015-07-13 02:57:53
重置任意用户密码漏洞研究这个有点意思重置密码post内容active 是邮箱+,+时间戳 linkid是六位数字,一定时间段这六位数字是前3,4,5 位是相同的,所以只需要破解的数字只有1-3位一个是hr 的qq 一个是随机的...
[网站安全]百度应用设计缺陷导致可随意构造baidu.com域xss2015-07-13 02:57:53
我们在百度搜索 linux命令大全会出现一个百度应用而这个应用存在注入漏洞,按理说不是百度的错误然而当我们把注入点写成 xss代码的hex后会直接弹出百度域的cookie这是为什么呢 我们看一下流程这个应用的原始u...
[网站安全]网站安全之如何防止网站被黑2015-07-13 02:57:53
这里所说的被黑,指黑客通过网站漏洞篡改网页内容、为网站恶意添加许多垃圾页面,内容往往与博彩、游戏等热门关键词有关,然后利于网站在搜索引擎中的天然优势骗取更多流量。互联网上所有网站其实都存在被黑的可...
[网站安全]53KF某后台MySQL盲注(root)2015-07-13 02:57:53
53KF某后台MySQL盲注(root)详细说明:注射点:code 区域POST check php HTTP 1 1Content-Length: 166Content-Type: application x-www-form-urlencodedX-Requested-With: XMLHttpRequestRefer...
[网站安全]今日头条某站cookie注入+源码泄露+getshell+微信key泄露2015-07-13 02:57:53
今日头条某站cookie注入+源码泄露+getshell+微信key泄露详细说明: http: 42 96 190 138 这个站存在SQL注入应该不止一处 cookie注入 数据包如下GET index php?g=WEBAPP&m=Index&a=getCategoryPagePr...
[网站安全]三星默认输入法远程代码执行2015-07-13 02:57:53
Remote Code Execution as System User on Samsung PhonesSummary在能够劫持你的网络前提下,攻击者能够利用三星自带输入法更新机制进行远程代码执行并且具有 system 权限 Swift输入法预装在三星手机中...
[网站安全]翼龙贷随意更改用户密码漏洞(逻辑漏洞非爆破)2015-07-13 02:57:53
翼龙贷官网,找回密码时,存在随意更改用户密码的漏洞。详细说明: 第一步:找回密码处,点击发送验证码,随便输入错误的验证码,抓包: 将错误的返回码记下来。第二部:输入正确的验证码,抓包:第三步...
[网站安全]黑掉(Hack)星巴克2015-07-13 02:57:53
starbucks com上的个人账户可以添加礼品卡,查询余额,也可以在礼品卡之间转账。有一类有趣的漏洞被称为 "竞争条件 "。在在在有余额、付款凭证或其他受限资源(主要是金钱)的网站上,这是一种常见的bug。资金从卡...
[网站安全]三星手机远程代码执行漏洞分析2015-07-13 02:57:53
摘要远程攻击者完全有能力控制用户网络流量,操纵三星手机的键盘更新机制,并且在目标手机上使用系统用户权限执行代码。在三星设备中预装的快速键盘,无法禁用也无法卸载。即使这个快速键盘并非用户默认使用,攻...
[网站安全]XSS之Cookie窃取(DVAW平台测试)2015-07-13 02:57:40
面临比赛,有一题是要求写出接收Cookies的脚本,于是模拟了一下XSS环境。PS:不考虑WAF等过滤首先该XSS是存储型的,目前DVAW安全级别为low。好久不写Web网页–竟然忘了跨域了==一开始代码是这样写的xss先在...
[网站安全]m1905安卓手机客户端xss获取cookie可打入后台2015-07-13 02:57:40
漏洞修补步骤:加强过滤或者安装专业性的防火墙...