漏洞预警
春秋航空APP酒店订单可遍历下载
修改reservationId即可随便查了两个
2014-08-02中信银行信用卡子站存在安全漏洞无需登陆查询他人开卡信息下载
去年无意中通过浏览器抓包发现一个中信银行的漏洞,可以导致用户的信息泄露!在无需登录就可以查询别人在中信银行办了几张卡,卡的类型,卡号,是否开通网上银行,手机,电话,地址,邮箱,都是明文未加密的!而且未做隐藏!没有任何限制!查询N次都是没问题
2014-08-02乐蜂网csrf漏洞可通过改邮箱来改密码下载
修改邮箱处存在csrf漏洞,如此一来就可以找回密码啦啦啦截到的post请求如下:u为用户编号,v为修改的邮箱,这个用户编号在浏览他人主页是可以得到的,请求中的s编号虽然变化但是试了下没什么用。返回2应该是正确,反正邮箱收到了哈。。邮箱修改成
2014-08-02迅雷云播SQL盲注下载
迅雷云播一功能盲注,mysql 数据库1,漏洞图示一 2,漏洞图示二虽说是盲注,但是其危害也还是不可忽视的哦,一直是你们的铁杆用户^_^漏洞证明[1] [2] 下一页
2014-08-02中国电信互联星空某站SQL注入漏洞下载
中国电信互联星空某站SQL注入漏洞注入点:http://v.sn.vnet.cn/search/list.jsp搜索的地方没进行过滤。 进行抓包。POST /search/list.jsp HTTP/1.1Host: v.sn.vnet.c
2014-08-02QQ邮箱储存型XSS下载
目前暂时没找到可利用场景,所以可以理解为self-xss吧,期待大牛们发现可利用的途径。其实主要就是提供一种思路,求忽略!~英文版的qq邮箱,附件夹可以编辑附件名字,但是过滤了xss。然而,中文版qq邮箱的附件夹,虽然不能修改附件名字,但是
2014-08-02淘宝可加载外部CSS文件下载
设计师与商家合作,外部链接CSS?
2014-08-02178游戏网存在root权限SQL注射可夸跨库下载
178游戏网存在root权限SQL注入,可夸库问题存在于个人中心http://i.178.com/~index.index?uid=1DB User & Pass: root:712bc5ee3d42fdc1:localhostroot:7
2014-07-31中国石油某营业厅用户密码修改漏洞下载
中国石化某网站用户密码修改漏洞,涉及大量用户,大额金额。注册页面http://www.sinopecsales.com/gas/res/html/register.jsp测试输入一个用户名,已被注册,那就用这个吧。找回密码页面http://
2014-07-31豌豆荚某服务器数据库设置不当可被外部访问下载
应该是channel.wandoujia.com的 mysql -h 60.29.246.4 -uroot -pEnter password: Welcome to the MySQL monitor. Commands end with
2014-07-31