标签 destoon 下的文章

destoon新版短消息中心xss

Author:Saline 最近发现xss其实蛮多的。随意就发现了的说..不过乌云都不收 destoon新版短消息中心xss指谁打谁首先选取一个对象我们去发消息 然后抓包,往里面填充我们的xss代码 其中的xss [php][/php] 采用了URLEncode编码http://tool.chinaz.com/Tools/URLEncode.aspx然后我们来试着点开该信息,审查元素,代码...

没穿底裤 2014 年 03 月 03 日 1 条评论

Destoon最新全版本通杀SQL注入漏洞

Author:Kavia /common.inc.php 64行:[php] if($_POST) $_POST = strip_sql($_POST); //strip_sql()过滤if($_GET) $_GET = strip_sql($_GET);if($_COOKIE) $_COOKIE = strip_sql($_COOKIE);.........if($_POST) extr...

没穿底裤 2013 年 10 月 31 日 4 条评论

destoon 全版本SQL注入漏洞

在include/global.func.php 中strip_sql函数对传进来的值进行了过滤,但是我们可以绕过该限制,达到全版本注入 [php]function strip_sql($string) { $search = array("/union[\s|\t]/i","/select[\s|\t]/i","/update[\s|\t]/i","/outfile[\s|\t]/i","...

没穿底裤 2013 年 10 月 01 日 暂无评论