代码审计 实用工具

1
漏洞发生在member/getpassword.php与admin/admin/getpassword.php文件中 if($p){ $array = explode('.',base64_decode($p)); $sql="SELECT * FROM $met_admin_table WHERE admin_id='".$array[0]."'"; $sqlarray = $db->get_one($sql); base64_decode($p)后的值用explode分割然后提交给 $array数组,最终$array[0]进入SQL查询,注入发生。 漏洞证明: 1’or(......

人文创业

31
      看到道哥写的 【想上什么大学就上什么大学】写的很不错,多是给目前在读大学或者将要读大学的同学一个启发。         这会刚好高考完,读什么大学好,也是讨论的很热。很多人拼命为了上大学,可能是受父母思想的压力,也有自己真心想上大学,我没上过大学,当然也没什么大学毕业证, 今天我就用我自己的经历来说一说,学历和工作的那些......

渗透测试

3
为了让安全宝web云防火墙更加的强大,更好的保护互联网用户。安全宝推出反馈漏洞得奖励活动,各位牛人们快行动吧,你敢反馈,我们就敢送礼品,反馈的越多,得的越多。 活动详情如下: 活动采用月结制,每个月月底寄送奖品。 活动地址:http://secaqb.anquanbao.org/ 一、绕过标准 1.反馈的绕过需要具有唯一性,即在之前没有被反馈过。 2.反馈的绕过需要具有一定质量,比如说注入能查......

编程开发

10
更新了下编辑框,之前的太不爽了。 工作每天都在用这些东西,单个单个的很麻烦,就全写了一遍,集合到一块了。大小才100K,很小巧的工具。   因为有的解码后是特殊字符,不好敲出来用正则匹配,就加了个自动解码调试正则的功能,支持编码转换后匹配。   功能支持:解码正则调试、多编码转换、POST数据提交,还有贴心的正则语法提示。   下载地址:http://pan.bai......

编程开发

1
分享一个在文件中快速查找字符串的脚步,根据 【python源码:windows类似linux wc统计文件行数python脚本】 稍微改的,速度很快   # -*- coding: GBK -* # Author: Seay # Blog :www.cnseay.com import os,sys,re findstr=''; def func_findstr(filepath): thefile=open(filepath, 'rb') while True: buffer = thefile.read(104857600) if not ......

编程开发

0
要统计一些大文件的函数,文件太大太多,只有写脚本来跑了,统计速度很快。windows类似linux wc统计文件行数python脚本。 在windows 的环境变量里设置下这个文件所在目录,就可以直接使用命令了。     # -*- coding: GBK -* # Author: Seay # Blog :www.cnseay.com import os,sys def func_countfileline(filepath): num =0 thefile=open(filepath, 'rb') ......

代码审计 实用工具

1
一个分析报告,安全宝能够拦截,发一下吧。博客没啥文章了,最近略忙。。。 略忙。。。 略忙。。。 略忙。。。 略忙。。。 漏洞作者:leehenwu 01漏洞分析   漏洞在payment.php文件 elseif($_REQUEST['act']=='return') { //支付跳转返回页 $class_name = $_REQUEST['class_name']; $payment_info = $GLOBALS['db']->getRowCached("select * from ".DB_PRE......

实用工具

漏洞播报:易想团购程序SQL注入

发表于4年前 | 作者: seay

2
未作过滤导致注入  作者:leehenwu

科普专线 编程开发

3
0x00 简介 验证码作为一种辅助安全手段在Web安全中有着特殊的地位,验证码安全和web应用中的众多漏洞相比似乎微不足道,但是千里之堤毁于蚁穴,有些时候如果能绕过验证码,则可以把手动变为自动,对于Web安全检测有很大的帮助。 全自动区分计算机和人类的图灵测试(英语:Completely Automated Public Turing test to tell Computers and Humans Apart,简称CAPTCHA),俗称验证码,是一种区分......

代码审计 科普专线 编程开发

3
当我们使用传统的 mysql_connect 、mysql_query方法来连接查询数据库时,如果过滤不严,就有SQL注入风险,导致网站被攻击,失去控制。虽然可以用mysql_real_escape_string()函数过滤用户提交的值,但是也有缺陷。而使用PHP的PDO扩展的 prepare 方法,就可以避免sql injection 风险。 PDO(PHP Data Object) 是PHP5新加入的一个重大功能,因为在PHP 5以前的php4/php3都是一堆的数据库扩展......

代码审计 编程开发

68
  系统名称:Seay源代码审计系统 系统作者:Seay 官网:www.cnseay.com 团队网站:www.safekeyer.com    BUG反馈+规则共享+插件共享,请发送到邮箱root@cnseay.com,我会集成在下一个版本。   历史版本: 2014年7月31日 Seay源代码审计系统2.1 时隔刚好一年之久,源代码审计系统再次更新,这次主要优化审计体验,优化了漏洞规则,算......

实用工具

4
轻松无压力,以下结果由【Seay源代码审计系统1.0】自动生成,没有经过人工处理。报告显示效果不好,请点击上面的【全屏阅读】查看     Seay代码审计系统漏洞报告 审计结果:发现可疑漏洞总数:9个 ID 漏洞描述 文件路径 漏洞详细 1 存在敏感信息泄露漏洞 http://localhost/dedecmsgbk///dede/diy_field_edit.php <!DOCTYPE html PUBLIC ̶......

实用工具

2
轻松无压力,以下结果由【Seay源代码审计系统1.0】自动生成,没有经过人工处理。报告显示效果不好,请点击上面的【全屏阅读】查看      Seay代码审计系统漏洞报告 审计结果:发现可疑漏洞总数:29个 ID 漏洞描述 文件路径 漏洞详细 1 存在敏感信息泄露漏洞 http://localhost/ecshop//search.php?encode[]=Seay <br /> <......

实用工具

1
 以下内容为 【Seay源代码审计系统1.0】 信息泄露插件生成的自动审计报告,没有人为加工。 报告显示效果不好,请点击上面的【全屏阅读】查看   DISCUZ X3.0 Seay代码审计系统漏洞报告 审计结果:发现可疑漏洞总数:10个 ID 漏洞描述 文件路径 漏洞详细 1 存在敏感信息泄露漏洞 http://localhost/discuz3//api.php?mod[]=Seay <br /&......