大西瓜的杂货铺

From:web安全手册

#Trace: (Burp suite默认字体不支持中文，可 在Options标签的font里选择中文字体，以便支持中文。感谢鬼仔的提醒)

Burp suite是由portswigger开 发的一套用于Web渗透测试的集成套件，它包含了Proxy,spider,scanner(付费版 本),intruder,repeater,sequencer,decoder,comparer等模块，每个模块都有其独特的用途，给专业和非专业的 Web渗透测试人员的测试工作带来了极大的便利。

本文以伴江行购物联盟(多用户)美化修改 v4.3上传漏洞演示repeater模块的其中一个应用。

漏洞地址详见http://hi.baidu.com/tr4c3/blog/item/f02c78f44c5591dbf2d385c8.html

首 先我们下载该程序的源代码，然后在本地部署以便测试。我本机的IP地址为192.168.8.120，演示程序地址为 http://192.168.8.120/test

阅读全文

文/饭

1. 前言
Web应用程序的编写，在满足其功能的同时却鲜有人关注其安全性，从市场上推出的各类Web应用防火墙不难理解，Web应用程序主要面临哪些安全威胁呢？ 如Sql注入、网页木马、表单绕过、跨站脚本、Xpath注入、口令爆力破解、客户端伪造请求 …等，而其漏洞根源在于开发者完全没有安全意识到而导致的。而本文将和大家讨论本地验证的缺陷，本地验证的最大的优点应该是减轻服务器端的计算负荷，而其 带来的安全胁威却足以令服务器沦陷为肉机。

阅读全文

利用网上的介绍做了比较详细的教程，给像我一样的小菜学习看，高手直接路过就行了。漏洞就是文章编辑无认证，以及上传文件过滤不严所导致，利用的方法很简单，希望用这个后台管理系统的公司要慎重啊。

随便找一个使用博贤科技后台管理系统的网站，然后输入

http://xxxx.com/manage/Product/add_news.asp

阅读全文

注：其实我没太明白这是什么意思，下留下了再说。

From：WEB安全手册

感谢Netpatch的投递

有的时候，我们需要上传大东西，但是由于W2K3默认上传限制为200KB。这个时候，不得不分包，依次上传，那个累呀！
有人问为什么不用Microsoft.XMLHTTP和Adodb.Stream组件，直接从服务器上下载呢【要是不能访问网络呢？你会怎么做？】

阅读全文

西瓜注：这个是我去年老早就整理好的一篇文章，也以为早放到站点上了，今天在检测一个站点的时候遇到了FCKeditor漏洞，在利用的时候想在站上找找看，结果没发现这篇文章，所以今天补上。而且我发现自己犯了一个错误，站点本身是.net的，我却在一直用asp的漏洞在测试，当然是失败了。在高人旁边一句点醒，改为aspx后，顺利的上传了webshell，看来以后还是要细心啊。

FCKeditor介绍
FCKeditor是一款功能强大的开源在线文本编辑器(DHTML editor)，它使你在web上可以使用类似微软Word 的桌面文本编辑器的许多强大功能。它是轻量级且不必在客户端进行任何方式的安装。 FCKeditor兼容Firefox, Mozilla, Netscape 和IE。

阅读全文

From：miao

一段代码：
<!–#ECHO var=”ALL_HTTP”–><br>

当前文件名称:<!–#ECHO var=”DOCUMENT_NAME”–><br><br>
Web服务器的名称和版本:<!–#ECHO
var=”SERVER_SOFTWARE”–><br>
主机名:<!–#ECHO var=”SERVER_NAME”–><br>
端口:<!–#ECHO var=”SERVER_PORT”–><br>
客户或客户代理IP地址:<!–#ECHO var=”REMOTE_ADDR”–><br>
客户或客户代理主机名:<!–#ECHO var=”REMOTE_HOST”–><br>
PATH_INFO  

阅读全文