代码审计 实用工具

0
在乌云上提交了这厂商的一个漏洞(http://www.wooyun.org/bugs/wooyun-2010-019717),被华丽的无视了,以后挖到它的漏洞直接公开 0×0 漏洞概述 0×1 代码解析 0×2 PoC   0×0 漏洞概述 xiuno实现了使用uc接口完成uc center登录的插件 xiuno默认没有启用uc插件 在不启用时,uc插件的key:uc_appkey为空,因此在不启用uc插件的时候,uc插件自带的加解密函数可以利用......

代码审计

代码审计:KingCMS 1.0 SQL Injection漏洞

发表于5年前 | 作者: seay

0
 官网:http://www.kingcms.com/ /** 分页列表信息 @param int listid : 列表id @return array */ public function infoList($listid=null){ global $king; if(!$listid) $listid=kc_get('listid',2,1);//必须的 if($listid==0) return; $cachepa......

人文创业

0
议题:这一次 我们重新定义了WAF 演讲人:安全宝联合产品副总裁吴翰青 视频地址:http://v.qq.com/page/t/c/z/t00124sozcz.html?_out=102

人文创业

0
商机的由来   在打车应用成长到目前规模的时间里,对它们的质疑从未停止过。的确,国内出租车管理的混乱、落后与行业制度以及牌照管制等外部因素,使得以互联网方式切入市场存在极大的风险。同时,打车不是购物,服务如何赚钱,也还没有真正行之有效的方案(打车软件:你到底能不能挣钱?)。   然而很明显,打车应用存在着市场。以北京为例,自 2006 年出租车价格大调整后,直到最......

人文创业

1
新员工招聘 今天有人在微博上提起:说“如果新招聘的同学的水平,低于团队平均水平,那样团队整体水平就会越来越低,所以我们对新员工的要求要在平均水平之上” 。 这个说法我是认同的,似乎自己也说过类似的话。确保团队的新陈代谢良性发展,必须把好招聘关。一流的人才繁殖一流的人才,二流的人才繁殖三流的人才。如果因为团队严重缺人,招聘了二流人才,因为进来就能干活。短期内对于......

人文创业

0
  罗永浩4月初在微博上为其锤子科技招聘软件研发总监时,除了百万年薪的诱人条件外,还特别提到了“如果应聘者的上一份工作是在上海、杭州或深圳,锤子科技在搬离北京前,另有每年十万元的PM2.5津贴。”实情也罢,噱头也好,但北京确实不太招人待见了。 从2009年开始,“逃离北上广”的现象开始涌现,引发了广泛的讨论。很多人的这种逃离,都是各种权衡、比较下做出的决定,这个......

代码审计 实用工具

代码审计:ESPCMS本地文件包含缺陷附EXP

发表于5年前 | 作者: seay

1
  adminsoft/index.php   $archive = indexget('archive', 'R'); $archive = empty($archive) ? 'adminuser' : $archive; $action = indexget('action', 'R'); $action = empty($action) ? 'login' : $action; include admin_ROOT . adminfile . "/control/$archive.php";// 包含产生 good nice $control = new important(); $action = 'on' . $action; if (method_exist......

代码审计 实用工具

代码审计:ESPCMS后台登陆绕过漏洞附EXP

发表于5年前 | 作者: seay

3
时隔好久,童鞋相继发过这个CMS漏洞,今天大体看了下,问题还有,官方还是一直在修复漏洞。  问题出在后台文件adminsoft\control\adminuser.php文件 代码问题出在函数onsitecode()   function onsitecode() { parent::start_template(); $db_table = db_prefix . "admin_member"; $linkURL = $_SERVER['HTTP_REFERER']; $siteid = $this->fun->accept('site......

人文创业

0
如果你的志愿是开一家自己的寿司店,你的第一步通常是先去一家很厉害的寿司店当学徒,等到把醋饭、生鱼、捏寿司、切萝蔔丝、煮味噌汤、观察客人的表情、与客人交谈、记住常客的喜好等等无数种寿司师父必须有的能力练得差不多了,然后再出来开自己的寿司店。 如果你的志愿是当一个开业的医生,除了念医科、考医师执照之外,通常还要去医院实习、当住院医生,跟着很厉害的主治医师学习,等到把看诊......

安全运营

2
PS:博主很少推荐工具,工作中经常遇到应急响应,跟服务器日志打交道是必不可少,自己也写过服务器web日志分析的脚本,不过不是那么完善。这是一个很实用的工具,推荐给经常做应急响应的朋友。   该工具能够对Web日志进行安全分析,可快速从Web日志中发现可疑的恶意攻击行为,并自动识别攻击者IP所在物理位置,最后生成可读性好的安全分析报告,便于安全人员分析攻击者的入侵过程。 工......

代码审计 实用工具

0
前言     刷微博的时候看到到seay发个了霸气外泄的cms:http://www.cnseay.com/2660/,官方介绍     Xiuno 这个名字来源于圣斗士星矢白羊座的黄金圣斗士修罗,他的攻击速度和战斗力是十二宫最强的,他是速度和力量的化身;在佛教里面,修罗为六道之一,处于人道和天道之间的一道,半人半神,性情刚烈,好战斗。我们取其寓意,希望XIUNO变得越来越强,越来越快。在 Xiuno BBS 的第一......

人文创业

0
3种人不太适合跟着一起创业:团队需要成长和发展就需要做出选择,也算是简单的经验分享,看看你能否遇到这类人: 悲观者      (现实中是我们团队的前重构人员,对于很多事情他是消极的,对人生依然如此,不过认真做事的时候还是很不错,只不过就几分钟)        “干嘛这么认真,这个东西不可能成功的。就算有使用者肯用,这种产品绝对没办法赚钱。况且就算狗屎运......

科普专线

英语口语:365天英语口语大全02 睡觉

发表于5年前 | 作者: seay

0
睡 觉 It’s bedtime. 但你还是精神抖擞吗?你的家人、朋友还在瞪着眼睛看电视吗?督促自己和家人洗洗涮涮赶紧睡啦,熬夜对身体可不好哦! 很晚了。It’s late. ○ It’s midnight. 已经半夜了。 我还想看电视。I want to watch more TV. ○ Turn off the TV. 把电视关上。 明天的事情都准备好了吗?Are you ready for tomorrow? ● be ready for…......

编程开发

数据优化:大数据量时Mysql的优化要点

发表于5年前 | 作者: seay

0
1、对查询进行优化、应尽量避免全表扫描、首先应考虑在 where 及 order by 涉及的列上建立索引。 2、应尽量避免在 where 子句中对字段进行 null 值判断、否则将导致引擎放弃使用索引而进行全表扫描、如: select id from t where num is null; –可以在num上设置默认值0、确保表中num列没有null值、然后这样查询: select id from t where num=0; 3、应尽量避免在 where 子句中使用!......