站长新闻

• 安全检测(41)
• 技术文档(270)
• 火车头采集(13)
• 漏洞预警(1693)

站长新闻

• 乐蜂网csrf漏洞可通过改邮箱来改密码下载

  修改邮箱处存在csrf漏洞，如此一来就可以找回密码啦啦啦截到的post请求如下：u为用户编号，v为修改的邮箱，这个用户编号在浏览他人主页是可以得到的，请求中的s编号虽然变化但是试了下没什么用。返回2应该是正确，反正邮箱收到了哈。。邮箱修改成

  2014-08-02

• 迅雷云播SQL盲注下载

  迅雷云播一功能盲注，mysql 数据库1，漏洞图示一 2，漏洞图示二虽说是盲注，但是其危害也还是不可忽视的哦，一直是你们的铁杆用户^_^漏洞证明[1] [2] 下一页

  2014-08-02

• 中国电信互联星空某站SQL注入漏洞下载

  中国电信互联星空某站SQL注入漏洞注入点：http://v.sn.vnet.cn/search/list.jsp搜索的地方没进行过滤。 进行抓包。POST /search/list.jsp HTTP/1.1Host: v.sn.vnet.c

  2014-08-02

• QQ邮箱储存型XSS下载

  目前暂时没找到可利用场景，所以可以理解为self-xss吧，期待大牛们发现可利用的途径。其实主要就是提供一种思路，求忽略！~英文版的qq邮箱，附件夹可以编辑附件名字，但是过滤了xss。然而，中文版qq邮箱的附件夹，虽然不能修改附件名字，但是

  2014-08-02

• 淘宝可加载外部CSS文件下载

  设计师与商家合作，外部链接CSS？

  2014-08-02

• 178游戏网存在root权限SQL注射可夸跨库下载

  178游戏网存在root权限SQL注入,可夸库问题存在于个人中心http://i.178.com/~index.index?uid=1DB User & Pass: root:712bc5ee3d42fdc1:localhostroot:7

  2014-07-31

• 中国石油某营业厅用户密码修改漏洞下载

  中国石化某网站用户密码修改漏洞，涉及大量用户，大额金额。注册页面http://www.sinopecsales.com/gas/res/html/register.jsp测试输入一个用户名，已被注册，那就用这个吧。找回密码页面http://

  2014-07-31

• 豌豆荚某服务器数据库设置不当可被外部访问下载

  应该是channel.wandoujia.com的 mysql -h 60.29.246.4 -uroot -pEnter password: Welcome to the MySQL monitor. Commands end with

  2014-07-31

• 演示支付宝一处隐私泄露的利用，获取3000人 (手机号/邮箱/姓名)下载

  因为之前在淘宝实习过，算是自己人了，发出来权作讨论。。。 问题是这样的：1) 给任何一个账号发起转账交易，在交易记录的地方，可以直接查看对方的真实姓名、邮箱等。2) 可以批量转账，每次20个人3) 创建转账交易不需要输入验证码4) 通过枚举

  2014-07-31

• 某支付机构子站后台弱口令泄露用户信息下载

  http://t3serv002.mit.edu:50070/ 中国银联http://atp.unionpay.com/admin/auth/loginadmin adminok 改吧。修复方案：加强口令啊 对用户负责

  2014-07-30