2025-01-06 厉飞雨 阅读(290) 评论(0) 赞(12)

最近有些忙，都没怎么更新文章，恰巧遇到一个这样的案例，就顺手写一篇简单的文章吧。 [](https://...

2025-01-06 厉飞雨 阅读(306) 评论(0) 赞(16)

> Dedecms V5.7版本后台可实现对于文件的重命名，可将上传的任意文件重名为php文件，导致getshell。 该漏洞的逻辑比较简单，就从漏洞的入口文件开始看，漏洞的入口文件是dede/file_manage_control.php，其部分源码如下： [![Dedecms V5.7最新漏洞 后台文件重命名](http://static.51tbox.com/s...

2025-01-06 厉飞雨 阅读(314) 评论(0) 赞(15)

描述 --- Dedecms是一款开源的PHP开源网站管理系统。 DeDecms(织梦CMS) V5.7.72 正式版20180109 (最新版) 由于前台`resetpassword.php`中对接受的**safeanswer** 参数类型比较不够严格，遭受弱类型比较攻击 导致了远程攻击者可以在前台会员中心绕过验证，进行任意用户密码重置攻击 当检测到此类攻击后，...

2025-01-06 厉飞雨 阅读(326) 评论(0) 赞(14)

[](https://img.mrwu....

2025-01-06 厉飞雨 阅读(286) 评论(0) 赞(16)

[](https://img.mrwu.red/wp-content/uplo...

2025-01-06 厉飞雨 阅读(354) 评论(0) 赞(13)

Foosun DotNetCMS2.0的源码下载地址： [download](https://51tbox.com/ "") 在阅读Foosun DotNetCMS2.0代码时，我们发现了这样一处： [![Foosun DotNetCMS2.0登录绕过漏洞](http://static.51tbox.com/static/2024-12-20/co...

2025-01-06 厉飞雨 阅读(328) 评论(0) 赞(14)

### 由于第一方 access_token 被盗，Facebook/Oculus 帐户被接管 恶意行为者可以窃取 Oculus 应用程序的第一方访问令牌，他可以使用该令牌访问 Facebook/Oculus 帐户。 因为 Facebook 中的 Oculus 应用程序（用于使用 Facebook 帐户登录 Oculus）将auth.oculus.com/login/端点作...

2025-01-06 厉飞雨 阅读(335) 评论(0) 赞(12)

流行的开源代码编辑器 Notepad++ 发现了多个缓冲溢出漏洞，允许攻击者执行任意代码。Notepad++ 尚未发布补丁修复漏洞。GitHub Security Lab 的安全研究员 Jaroslav Lobačevski 发现，Notepad++ 使用的部分函数和库存在堆缓冲区写溢出和堆缓冲区读取溢出漏洞，这些漏洞的风险评分从 5.5 （中危）到 7.8 （高危）不等。他是...

2025-01-06 厉飞雨 阅读(328) 评论(0) 赞(14)

### 简介及安装 MKCMS5.0是一款基于PHP+MYSQL开发制作的专业全自动采集电影网站[源码](https://51tbox.com/ "源码")。程序不需授权上传直接使用,自动更新电影,无人值守! 完整的会员影视中心 后台可对接卡盟 可以设置收费观看模式。 下载地址：链接：[https://pan.baidu.com/s/12HsPtKN8...

2025-01-06 厉飞雨 阅读(245) 评论(0) 赞(11)

XSS漏洞原理 ------- XSS漏洞是一种跨站[脚本](https://51tbox.com/ "脚本")攻击，攻击者通过构造恶意脚本传入服务器，并且被当成前端脚本执行了。 XSS分类 ----- 1. 反射型XSS 反射型XSS是攻击者将恶意脚本注入到请求参数中，服务器将参数返回给客户端时，脚本从服务器"反射"到客户端并被...