这个漏洞来自乌云,经过本地环境测试后,发现漏洞确实存在。 详细说明: PHP双字节编码,这个本不应该出现的问题,或许因为过去太久远快被遗忘了,phpcms从20140929的v9....
01月01日606 views评论v
漏洞
phpcmsV9.6 getshell
01月01日606 views评论v
漏洞
01月01日606 views评论v
漏洞
iwebshop Blind injection
漏洞文件:/controllers/seller.php这里先用get函数获取我们的参数值,这里可以看见id参数没有声明类型,那说明我们可以控制,但后面又进入了一个act函数,跟入...
01月01日377 views评论del
id
74CMS 20150423最新版高危逻辑设计缺陷导致的安全问题(官方demo演示)
74CMS最新版在处理转码现在使用的utf8_to_gbk()函数,看过74CMS的都知道之前用的iconv函数被雨牛报过漏洞,现在里面使用了stripslashes函数:
01月01日454 views评论cms
函数
PHP 5.6.1 open_basedir exist file check bypass
- file an existing member: Warning: include (): open_basedir restriction in effect. File (...
01月01日漏洞时代420 views评论file
open
Struts2 s2-032远程代码执行分析
1. 介绍: Struts 2是Struts的下一代产品,是在 struts 1和WebWork的技术基础上进行了合并的全新的Struts 2框架。其全新的Struts 2的体系结...
01月01日399 views评论代码执行
漏洞
PHPMyWind绕过过滤SQL注入(限定条件)
PHPMyWind设计缺陷绕过过滤SQL注入我会在标题里面告诉你们其实是全局变量覆盖吗?需要register_globals=on。 /include/common.inc.php...
01月01日847 views评论get
sql
yodo建站系统设计不当可刷钱(本地演示)
TCCMSV9.0 最新版多处sql注入(GPC 条件)
路人甲在app/controller/news.class.php中这里程序先做了登陆以及发表文章的权限判断。然后程序执行了表单数据获取操作:$_Obj->create();
01月01日352 views评论最新版
路人甲
华天动力OA办公系统储存型XSS可盲打管理员
齐博博客系统sql注入一枚(版本限制,部分通过)
/blog/template/space/file/listbbs.php这个函数中的$TB_pre未初始化,然后根据齐博系统的伪全局变量注册。然后造成sql注入。
01月01日412 views评论page
Phpyun SQL注入两枚
漏洞一:/member/model/com.class.php中[php]function job(){。。。570行 if($_GET['del'] || is_array($_...
01月01日359 views评论get
post
Youyax最新版(V5.85)注入一枚
大半夜来提交洞了,快凌晨2点了,蛋碎。 看文件/Lib/BidAction.php 13-35行[php]public function accept()
01月01日418 views评论id
php
26909