oldjun博客
团队展示版主考勤系统 FOR Discuz! 7.0 GBK正式发布
曾经需要一款dz论坛的版主考勤系统,寻觅了很久,官网论坛、各大搜索引擎,没能发现,没办法,只好自己来了,5月份写完的1.0版本,在我的仙剑论坛:http://www.moujian.com/bbs测试了下,发现了许多问题,于是整体修改了下,于是有了1.1版本,目前使用的很好,没有什么问题。因此决定共享给大家使用,
Discuz! 7.0下Wap访问显示图片的研究
由于管理自己的论坛,对论坛的一些功能有缺陷的话,会想办法进行完善,于是有了这篇文章。玩黑思路很重要,写程序思路一样很重要。由于网上对相关Discuz论坛wap显示图片的技术文章非常少,而官方迟迟不更新wap版本,所以只能靠自己了。官方论坛搜了很久,也查看了别人对于5.5版本与6.0版本的处理方法,
Discuz! 7.0 若干插件存在不同程度的漏洞
----------------------------------------------------------------------------# oldjun注:帮朋友打下广告,希望大家不要介意。这本书是 冰的原点 写的,lcx写的序。官方连接:http://www.nohack.cn/bbs/thread-96363-1-1.html新书预告<黑客渗透笔记>快赏淘宝预定地址:http://item.taobao.com/au
查询某关键词在MSSQL数据库位置的ASP脚本
晚上皇子(http://www.2chuizi.com)丢给我一段SQL语句,功能是:以一个关键字为索引,搜索整个数据库,然后返回那个关键字所在的表名和列名。(很赞...特别是入侵的时候找不到用户名与密码所在的表的时候,如果能直接通过输入admin这个关键词找出字段...省得一个表一个表的看了。)于是根据那段语句,写
ECShop网店系统<=V2.6.2 后台拿webshell
ECSHOP是一款开源免费的网上商店系统。由专业的开发团队升级维护,为您提供及时高效的技术支持,您还可以根据自己的商务特征对ECSHOP进行定制,增加自己商城的特色功能。(官方介绍)ECSHOP前段时间出了个注射漏洞:http://bbs.wolvez.org/topic/67/,拿后台权限应该没有问题,但文章没有提及如何在后
Web开发中请勿过分依赖Javascript
Javascript是客户端语言,javascript为web应用带来了很多优势,因此很多web程序开发者非常依赖javascript,从简单的判断到ajax,javascript无所不在,然而过分依赖javascript,您的web程序可能出现极大的安全隐患。下面从实际情况讲讲过分依赖javascript所带来的问题:1、upload时的javascript判断,这
Ewebeditor2.8.0最终版删除任意文件漏洞
这个漏洞可以很鸡肋,也可以很致命,关键看你怎么利用!此漏洞存在于Example\NewsSystem目录下的delete.asp文件中,这是ewebeditor的测试页面,无须登陆可以直接进入,看这些代码:' 把带"|"的字符串转为数组Dim aSavePathFileNameaSavePathFileName = Split(sSavePathFileName, "|")' 删除新闻相关的
MSSQL2005 手工盲注 总结
(新年了,好久没更新,帖一些以前用的SQL语句~)好多人贴了2005注入语句,基本是显错模式的,如果显错,很多工具还是可以用的;但盲注,工具貌似就不咋地了,pangolin注不了2005,其他2005注入的注入工具对于盲注貌似也很感冒;网上没几个盲注语句,于是平时用到的时候自己写,现在贴出来,某些地方类似
小脚本全面封杀WVS扫描器
最近发现很多同仁对我的网站比较青睐,同事帮我分析网站log时,惊讶的发现:2M的log居然有将近1M都是测试我网站的安全性的,其中至少0.5M的log来自WVS。Acunetix Web Vulnerability Scanner 是一款国外产的及其优秀的扫描工具,可以帮忙挖掘网站内的诸多漏洞,包括常见的SQLinjection,XSS(很多自认为
年终了,谈点个人入侵的经验
From oldjun(http://www.oldjun.com/)这一年变化比较大,换了好几个工作,最终还是回到了安全的岗位,合乎自己的职业规划!平时空闲时间经常找些站练练手,基本是新闻闹出轰动的站与一些知名的大站。2008年的成果还是颇丰的,从某某国内2大知名社区论坛到某某著名交友站到某某2大读书站到某某mobile到
