2011
09-29
09-29
常见Php脚本漏洞形成防范详细解析
PHP网页的安全性问题
针对PHP的网站主要存在下面几种攻击方式:
1.命令注入(Command Injection)
2.eval注入(Eval Injection)
3.客户端脚本攻击(Script Insertion)
4.跨网站脚本攻击(Cross Site Scripting, .... Read More >
分类目录归档:Web安全
PHP网页的安全性问题
针对PHP的网站主要存在下面几种攻击方式:
1.命令注入(Command Injection)
2.eval注入(Eval Injection)
3.客户端脚本攻击(Script Insertion)
4.跨网站脚本攻击(Cross Site Scripting, .... Read More >
2011
09-29
09-29
Php脚本漏洞原理
PHP是一种服务器端的,嵌入HTML的脚本语言。PHP区别其他语言的地方是它的代码在服务器端执行,例如收集表格数据,生成动态页面内容,或者收发cookies等,今天我们来了解一下它的漏洞问题。
一 全局变量
全局变量,就是能够在整个程序执行的过程中都存在的变量。基于PHP的应用程序的主函数一般都.... Read More >
2011
09-25
09-25
微软IE7.0 异常CSS导致内存破坏漏洞
1.漏洞介绍
在XHTML 1.0标准下,使用特殊构造的CSS样式,在Internet Explorer 7.0 打开特定的网页后,Internet Explorer 7.0将发生内存崩溃,EIP指针将访问0x70613e5b附近的内存区域。如果将0x70613e5b附近覆盖特殊的机器码,就可以执.... Read More >
2011
09-25
09-25
IIS源码泄露及文件类型解析错误
漏洞介绍:IIS是微软推出的一款webserver,使用较为广泛,在支持asp/asp.net的同时还可以较好的支持PHP等其他语言的运行。但是80sec发现在IIS的较高版本中存在一个比较严重的安全问题,在按照网络上提供的默认配置情况下可能导致服务器泄露服务器端脚本源码,也可能错误的将任何类型的文.... Read More >
2011
09-14
09-14
Google搜索技巧挑战隐私(Google hacker)
Google Hacking的含义原指利用Google Google搜索引擎搜索信息来进行入侵的技术和行为,现指利用各种搜索引擎搜索信息来进行入侵的技术和行为.Google Hacking其实并算不上什么新东西,在早几年我在一些国外站点上就看见过相关的介绍,但是由于当时并没有重视这种技术,认为最多就只是用来找找未改名的mdb或者别人留下的webshell什么的,并无太大实际用途.但是前段时间仔细啃.... Read More >
2011
09-14
09-14
IE8 XSS Filter Bypass
漏洞说明:IE8是微软新推出的一款浏览器,其对CSS2.1的完整支 持,HTML5的支持,内置开发工具等等。IE8在浏览器安全性上有非常大的改进,内置了一款无法卸载的Xss Filter,对非持久型跨站脚本攻击做了比较好的防护。但是80sec在测试IE8时发现,IE8的Xss Filter存在漏洞,导致在一些东方国家的版本里根本不能阻止URL Xss,譬如在中文版本里,利用一些简单的数据就.... Read More >
2011
09-10
09-10
KindEditor 3.5.5 遍历目录漏洞
KindEditor是一套开源的HTML可视化编辑器,主要用于让用户在网站上获得所见即所得编辑效果,兼容IE、Firefox、Chrome、Safari、Opera等主流浏览器。 KindEditor使用JavaScript编写,可以无缝的于Java、.NET、PHP、ASP等程序接合。 KindEditor非常适合在CMS、商城、论坛、博客、Wiki、电子邮件等互联网应用上使用,2006年7月首.... Read More >
2011
09-08
09-08
114啦网址导航留言本注入漏洞
漏洞文件 feedback/feedback.php
影响版本<=1.5 代码:
$username = emptyempty($_POST['username']) ? '' : strip_tags(iconv('UTF-8', 'GBK', $_POST['username'])); &nb.... Read More >