Hbseoer - hbseoer.com
General Information:
Latest News:
Baby Gekko CMS v1.1.5c多个存储型XSS 5 May 2012 | 11:24 am
Baby Gekko CMS v1.1.5c Multiple Stored Cross-Site Scripting Vulnerabilities 开发者: Baby Gekko, Inc. http://www.babygekko.com 影响版本: www.2cto.com 1.1.5c Summary: BabyGekko strives to deliver high qual....
PluXml 5.1.5本地文件包含缺陷及修复 5 May 2012 | 11:24 am
开发者网站: pluxml.org 缺陷影响版本: 5.1.5 及以前 已测试版本: 5.1.5 补丁时间: 16 April 2012 问题类别:本地文件包含 修复状态:作者已修正 高危 日志 High-Tech Bridge SA Security Research Lab has discovered vulnerabiliy in PluXml, which can be explo....
OpenConf <= 4.11 (author/edit.php)远程盲注缺陷及修复 5 May 2012 | 11:24 am
<?php /* ——————————————————————— OpenConf <= 4.11 (author/edit.php) Remote Blind SQL Injection Exploit ——————————————————————— author……………: Egidio Romano aka EgiX ...
友情入侵检测中国匿名者 5 May 2012 | 11:24 am
我一开始就是纯属围观而已 因为搭眼一看,这个站应该不属于那种我五分钟就能前台到服务器的那种站。估计得费点劲,而且我除了IE和cmd没别的什么可以拿得出手的工具,于是我就围观了,然后我顺手牵羊?好吧,我承认我邪恶了,因为没什么好处,干嘛要费半天劲去搞他。 可惜啊,围观了n久没有个所以然。。。看的我那个揪心啊。。。 这站有那么难搞?都没点头绪?好吧,既然那么难搞,我初定三天吧,三天有点多?这站还不...
DedeCms <= V5.7 (最新版) 任意文件删除漏洞 5 May 2012 | 11:24 am
利用条件: magic_quotes_gpc=Off 可删除任意后缀文件 magic_quotes_gpc=On 可删除jpg|gif|png后缀文件 PHP版本要求支持空字节截断 ./member/edit_face.php 、./member/edit_space_info.php等文件都有类似的代码,用于修改用户头像和空间logo等图片。 但是程序对旧的的图片路径过滤不严(其实这个参数根....
织梦5.7注入加上传漏洞及修复 5 May 2012 | 11:23 am
会员中心查询会员信息语句过滤不严,导致url可提交注入参数; 会员中心有上传动作过滤不严,导致上传漏洞 详细说明: ①注入漏洞。 这站http://www.XXX.com/ 首先访问“/data/admin/ver.txt”页面获取系统最后升级时间, 然后访问“/member/ajax_membergroup.php?action=post&membergroup=1”页面,如图说明存在该漏洞。 ...
DedeCMS几个最新bug分析 5 May 2012 | 11:23 am
DedeCMS几个Bug(所谓0day)分析 作者: c4rp3nt3r@0x50sec.org DedeCms作为国内使用非常广泛的CMS系统,今年来大大小小的安全漏洞爆出来不少.像这种使用非常广泛的Web代码如果出现严重漏洞可能会比一般的缓冲区溢出漏洞造成的破坏更大,其中2011年8月左右爆出的代码执行漏洞最为给力的一个.其后DedeCms很快打了补丁,有一些安全漏洞逐渐被披露,但仍有.....
ASPCMS留言板注入可直接将一句话木马插入数据库(含修复方案) 5 May 2012 | 11:23 am
aspcms主要是信息发布系统,影响版本为asp。 漏洞成因,在留言板处对信息处理不当,导致代码注入。可直接将一句话木马插入数据库。 数据库默认配置为asp.目录在/data/data.asp下。 利用方法,保证默认数据库路径末更改及可留言,就算不能留言,可构造,经测试,九成的末更改: 在留言的标题处插入:┼攠數畣整爠煥敵瑳∨≡┩愾 这样就往数据库中插入了一句话,密码为a 修复...
常见恶意网站攻击方式 5 May 2012 | 11:23 am
作者 苗得雨 偷渡式下载 偷渡式下载是一种计算机代码,它利用Web 浏览器中的软件错误使浏览器执行攻击者希望的操作,例如运行恶意代码、使浏览器崩溃或读取计算机中的数据。可被浏览器攻击利用的软件错误也称为漏洞。 网页仿冒攻击 当攻击者冒充受信任的公司来显示网页或发送电子邮件时,即发生网页仿冒攻击。这些网页或电子邮件要求不知情的客户提供敏感信息。 间谍软件 间谍软件是跟踪个人身份信息或保密信.....
爱卡汽车含sql漏洞致数据库信息泄露及修复 5 May 2012 | 11:23 am
汽车频道火狐中文网存在sql漏洞,可以拿到管理权限,目前已被脱裤! 详细说明: http://firefox.xcar.com.cn/content.php?id=422298注入点 漏洞证明: 修复方案: 加强过滤 作者 踏歌公子 你可能感兴趣的文章: 新浪房产文件遍历及任意文件下载漏洞 优厚竞拍网站免费获取拍点漏洞及修复 MyPhpAuction 2010 SQL注入漏洞及修复