上一页 1 2 3 4 5 6 ··· 26 下一页
2016年12月26日
bool型变量下标的时候javascript是不能允许的
摘要: jother编码是我最开始想写的内容,原因有两点:1.原理比较简单,不需要太多关于算法的知识。2.比较有趣,是在对javascript有了很深的理解之后催生的产物。如果你只需要知道jother编码和解码的方法,那么你可以直接跳过文章正文看结论部分。如果你想知道其中的原理那么你可以带着这个疑问和我一起 阅读全文
posted @ 2016-12-26 17:50 韩国服务器-Time 阅读(533) 评论(0) 推荐(0) 编辑
SQL服务器在执行这条语句时会先进行运算然后执行
摘要: 1、打开地址,我们可以看到是一个正常的页面。 2.、然后在地址后面加上-1,变成:http://site/news.asp?id=123-1,若返回的页面和前面不同,是另一个正常的页面,则表示存在注入漏洞,而且是数字型的注入漏洞 3、若在地址后面加上 -0,变成 http://site/news.a 阅读全文
posted @ 2016-12-26 17:49 韩国服务器-Time 阅读(373) 评论(0) 推荐(0) 编辑
return array 评论添加状态和提示信息
摘要: ThinkSNS漏洞系列第一弹,某处处理不当导致SQL注入 漏洞点出现在Comment Widget里:\addons\widget\CommentWidget\CommentWidget.class.php:138/*** 添加评论的操作** @return array 评论添加状态和提示信息*/ 阅读全文
posted @ 2016-12-26 17:46 韩国服务器-Time 阅读(460) 评论(0) 推荐(0) 编辑
2016年12月24日
.保护Express应用程序
摘要: 毫无疑问,Node.js已经变的愈加成熟,尽管这样,开发者仍然缺乏大量的安全指南。在这篇文章中,我将分享一些有关Node.js安全要点给大家,希望大家能够谨记于心。 1.避免使用Eval Eval并不是唯一一个需要避免的函数,在后台,下面这几个表达式可以使用eval: setInterval(Str 阅读全文
posted @ 2016-12-24 16:47 韩国服务器-Time 阅读(390) 评论(0) 推荐(0) 编辑
SQL Injection(SQL注入漏洞)
摘要: 审计前准备: 1、安�php程序(推荐phpStudy) 2、高亮编辑器(推荐 Sublimetext Notepad++) 3、新建一个文本,复制以下变量,这些变量是审计中需要在源码中寻找的 ###################### $_SERVER $_GET $_POST $_COOKIE 阅读全文
posted @ 2016-12-24 16:44 韩国服务器-Time 阅读(787) 评论(0) 推荐(0) 编辑
POST在发送数据的时候使用的是HTTP命令
摘要: 防止SQL注入 SQL(结构化查询语言)是基于美国国家标准学会(ANSI)标准,并作为共同的语言与数据库通信。每个数据库系统增加了一些专有功能到基本的ANSI SQL。 SQL注入是一门将制作好的SQL注入用户输入字段的一种技术,它是网页形式的一部分——用来绕过自定义登录到网站。然而,SQL注入也可 阅读全文
posted @ 2016-12-24 16:43 韩国服务器-Time 阅读(1958) 评论(0) 推荐(0) 编辑
assert_option()可以用来对assert()进行一些约束和控制
摘要: 一.evaleval用法:eval() 函数把字符串按照 PHP 代码来计算。该字符串必须是合法的 PHP 代码,且必须以分号结尾。如果没有在代码字符串中调用 return 语句,则返回 NULL。如果代码中存在解析错误,则 eval() 函数返回 false。1 <?phpeval($_POST[ 阅读全文
posted @ 2016-12-24 16:41 韩国服务器-Time 阅读(818) 评论(0) 推荐(0) 编辑
2016年12月23日
supercool.sh文件里,有哪些恶意的命令
摘要: 当你在一个bash命令行中输入“*”时,bash会扩展到当前目录的所有文件,然后将他们全部作为参数传递给程序。例如:rm *,将会删除掉当前目录的所有文件。 0x01 文件名被当做参数 大多数的命令行程序受此影响。例如ls命令,当不适用任何参数时,输出是这个样子的: [stephen@superX 阅读全文
posted @ 2016-12-23 17:11 韩国服务器-Time 阅读(272) 评论(0) 推荐(0) 编辑
重置密码是最多见最容易出现的一类,那就是手机验证码爆破从而重置密码
摘要: 一般的密码重置的设计都是分为以下四步的: 1.输入账户名 2.验证身份 3.重置密码 4.完成 通常漏洞是会存在于2或者3步骤中,下面来看看常见的一些重置密码漏洞的方式。 0x01 爆破类型 1 这种重置密码是最多见最容易出现的一类,那就是手机验证码爆破从而重置密码。 WooYun: 爱周游任意用户 阅读全文
posted @ 2016-12-23 17:10 韩国服务器-Time 阅读(1379) 评论(0) 推荐(0) 编辑
程序出错暴路径与程序修复
摘要: 简要描述:简单通过Google搜索了一下,发现多个大小问题。详细说明:1、米聊官方论坛二次注入。http://www.discuz.net/thread-2354532-1-1.html打补丁。2、跨站脚本http://mi.xiaomi.com/%E6%96%B9%E8%B6%85x%3Cscri 阅读全文
posted @ 2016-12-23 17:08 韩国服务器-Time 阅读(214) 评论(0) 推荐(0) 编辑
上一页 1 2 3 4 5 6 ··· 26 下一页