从CCVMS 2009漏洞看Web应用程序API接口安全性

在审计Web代码安全性时，大家应该都感觉到了．很多程序员的安全都已经具备了比较高的安全意识．想在一套成熟的代码中发现一些注入漏洞或者代码执行漏洞也越来越难了。因此，越来越多的漏洞挖掘者把目光投向了挖掘程序员的逻辑错误以及一些意识上的误区。本文就以国内知名的PHP视频建站系统CCVMS2009的一个安全缺陷来谈谈Web应用程序API接口安全性问题。

淋漓尽致的发挥——社工巧取浙大主服务器WebShell

源于我们对大学的热爱，一直以来大家检测各大学网站的热情不减，黑防也常有这样的文章发表，最近更有牛人号称检测了全国排名前十的大学。今天我也写一篇，鉴于我比较菜，没能力去入侵分站，仅测试了一下浙江大学的主服务器。

PHPCMS漏洞的二次利用

PHPCMS历来以漏洞多著称，其2008版继承了之前版本的光荣传统，存在各种危害程度不同的漏洞。下面我们来看一个已经在后期更新中补掉的本地文件包含漏洞，该漏洞的利用方式还是比较有意思的。漏洞代码很简单，相信很多人都看到了。

Dedecms v5 又一个任意代码执行漏洞

自织梦内容管理系统（dedecms）V5发布以来．陆续被发现了注射、跨站等漏洞．其实这个CMS还有更严重的漏洞。由于代码上的缺陷，普通用户可以直接将代码写入PHP文件到服务器来执行。上个月官方网站已经修补了一个这样的漏洞．但还有另外一个类似的没有修补。

Dedecms变量未初始化漏洞的深入利用

近日Dedecms V55版发布了，姑且不论功能和可用性是否增强，安全性依旧如前期版本一样不容乐观。本文就简单的分析一个由变量未初始化造成的安全漏洞。