分类目录归档:Web安全

发布常见的Web应用程序漏洞分析公告和修复方案,比如上传漏洞、Sql注入漏洞、跨站脚本漏洞、命令执行漏洞、SSRF漏洞等.同时分享IIS、Apache、Nginx、Jboss、Struts2等方面的漏洞公告.

2011
10-05

Sql注入漏洞的形成和防范

Sql注入漏洞的形成和防范随着B/S模式应用开发的发展,使用这种模式编写应用程序的程序员也越来越多。但是由于程序员的水平及经验也参差不齐,相当大一部分程序员在编写代码的时 候,没有对用户输入数据的合法性进行判断,使应用程序存在安全隐患。用户可以提交一段数据库查询代码,根据程序返回的结果,获得某些他想得知的数据,这就 是所谓的.... Read More >
2011
09-29

Php脚本漏洞原理

Php脚本漏洞原理PHP是一种服务器端的,嵌入HTML的脚本语言。PHP区别其他语言的地方是它的代码在服务器端执行,例如收集表格数据,生成动态页面内容,或者收发cookies等,今天我们来了解一下它的漏洞问题。 一 全局变量 全局变量,就是能够在整个程序执行的过程中都存在的变量。基于PHP的应用程序的主函数一般都.... Read More >
2011
09-25

IIS源码泄露及文件类型解析错误

IIS源码泄露及文件类型解析错误漏洞介绍:IIS是微软推出的一款webserver,使用较为广泛,在支持asp/asp.net的同时还可以较好的支持PHP等其他语言的运行。但是80sec发现在IIS的较高版本中存在一个比较严重的安全问题,在按照网络上提供的默认配置情况下可能导致服务器泄露服务器端脚本源码,也可能错误的将任何类型的文.... Read More >
2011
09-14

Google搜索技巧挑战隐私(Google hacker)

Google Hacking的含义原指利用Google Google搜索引擎搜索信息来进行入侵的技术和行为,现指利用各种搜索引擎搜索信息来进行入侵的技术和行为.Google Hacking其实并算不上什么新东西,在早几年我在一些国外站点上就看见过相关的介绍,但是由于当时并没有重视这种技术,认为最多就只是用来找找未改名的mdb或者别人留下的webshell什么的,并无太大实际用途.但是前段时间仔细啃.... Read More >
2011
09-14

IE8 XSS Filter Bypass

漏洞说明:IE8是微软新推出的一款浏览器,其对CSS2.1的完整支 持,HTML5的支持,内置开发工具等等。IE8在浏览器安全性上有非常大的改进,内置了一款无法卸载的Xss Filter,对非持久型跨站脚本攻击做了比较好的防护。但是80sec在测试IE8时发现,IE8的Xss Filter存在漏洞,导致在一些东方国家的版本里根本不能阻止URL Xss,譬如在中文版本里,利用一些简单的数据就.... Read More >
2011
09-10

KindEditor 3.5.5 遍历目录漏洞

KindEditor是一套开源的HTML可视化编辑器,主要用于让用户在网站上获得所见即所得编辑效果,兼容IE、Firefox、Chrome、Safari、Opera等主流浏览器。 KindEditor使用JavaScript编写,可以无缝的于Java、.NET、PHP、ASP等程序接合。 KindEditor非常适合在CMS、商城、论坛、博客、Wiki、电子邮件等互联网应用上使用,2006年7月首.... Read More >
« 上一页123