漏洞时代

因为改版,丢失了大量的友情..本站的文章都大多源自网络.并不是都是原创。如果没有著名出处。可能是转载文章的时候没有写或者是文章本身就是转载的就没在写出处。本站定位就是分享资源。如果有版权问题,请联系本站删除或者更改!!!需要交换链接的朋友请到关于我们留言~~

opensns最新版前台getshell

from 90sec我们先看漏洞触发点:在/Application/Weibo/Controller/ShareController.class.php中第20行:public function doSendShare(){ $aContent = I('post.content','','text'); $aQuery = I('post.query',''...

没穿底裤 2017 年 02 月 01 日 暂无评论

PageAdmin CMS SQLInjection 0DAY

漏洞出现在: class :  mem_issueprotected void Page_Load(object sender, EventArgs e) //页面加载事件 { //method_15 这里判断变量 A-Z 0-9 method_16转换为int 成功返回TRUE 前面没什么好看的 看下面 this.method_4(); if ((...

没穿底裤 2017 年 01 月 25 日 暂无评论

wecenter 3.1.9 /app/m/weixin.php 反序列化造成SQL注入漏洞

wecenter 3.1.9 /app/m/weixin.php 文件中,对传入的参数反序列化后直接构造SQL语句进行查询,导致SQL注入漏洞漏洞文件:/app/m/weixin.php:110相关代码public function authorization_action() { $this->model('account')->logout(); unset(...

没穿底裤 2017 年 01 月 08 日 暂无评论

dedeCMS友情链接getshell漏洞分析

在tpl.php中/*--------------------------- function savetagfile() { } 保存标签碎片修改 --------------------------*/ else if($action=='savetagfile') { if(!preg_match("#^[a-z0-9_-]{1,}\.lib\.php$#i", $...

没穿底裤 2017 年 01 月 01 日 暂无评论

通达oa前台注入+后台getshell

注入分析 \inc\common.inc.php<?php function SecureRequest(&$var) { if (is_array($var)) { foreach ($var as $_k => $_v ) { $var[$_k] = securerequest($_v); ...

没穿底裤 2016 年 12 月 31 日 暂无评论

DuomiCMS /interface/comment/api/index.php SQL注入漏洞

漏洞详情DuomiCMS在SQL防注入方面做了2层安全检测,第一层检测是在代码入口处,使用了360的简易WAF规则。第二层是在数据库查询入口处使用了dedecms的SQL检测函数。DuomiCMS 的 /interface/comment/api/index.php 文件过滤不完全,可通过绕过SQL注入检测机制,触发SQL注入漏洞。漏洞原因一、背景duomicms在SQL防注入方面做了2层安...

没穿底裤 2016 年 12 月 28 日 暂无评论