漏洞预警
演示支付宝一处隐私泄露的利用,获取3000人 (手机号/邮箱/姓名)下载
因为之前在淘宝实习过,算是自己人了,发出来权作讨论。。。 问题是这样的:1) 给任何一个账号发起转账交易,在交易记录的地方,可以直接查看对方的真实姓名、邮箱等。2) 可以批量转账,每次20个人3) 创建转账交易不需要输入验证码4) 通过枚举
2014-07-31某支付机构子站后台弱口令泄露用户信息下载
http://t3serv002.mit.edu:50070/ 中国银联http://atp.unionpay.com/admin/auth/loginadmin adminok 改吧。修复方案:加强口令啊 对用户负责
2014-07-30华夏网某分站SQL注入下载
华夏网某分站SQL注入http://shop.huaxia.com/ldflist.aspx?city=%E4%B8%8A%E6%B5%B7&channelId=1 sqlmap identified the following injec
2014-07-30金融界某分站SQL注入下载
http://m.jrj.com.cn/stock/corpNews.jspa?_pn=2&code=002713sqlmap identified the following injection points with a total o
2014-07-30东风标致某业务SQL注入下载
东风标致某业务SQL注入http://408.peugeot.com.cn/show.php?cid=57 Place: GETParameter: cid Type: boolean-based blind Title: AN
2014-07-30格林豪泰短信验证漏洞和订单查询无权限控制下载
格林豪泰的手机网站http://m.998.com/1. 短信验证漏洞注册页面http://m.998.com/Api/Account/SendMobileCheckMsg.ashx发送验证码的请求返回结果中直接包含了短信验证码。这样的结果
2014-07-30搜狗快照存在持久型xss漏洞下载
http://www.sogou.com//websnapshot?ie=utf8&url=http%3A%2F%2Fqq.mb5u.com%2Fabout.html&did=65b505059bf9e58d-1152efedfc5effe
2014-07-30阿里巴巴某处漏洞修复不完整下载
现在是对ip访问基本都限制了,还有就是配置了内网ip数量比较多的域名:*.alibaba-inc.com也限制了但其他类型的url访问及权限绕过还是有不少的,这里我看了一下,大致分三种的权限绕过访问没处理(其实就是一种:公司所有域名):1.
2014-07-30雨林木风DNS服务器可被入侵下载
Github上泄露了员工邮箱密码,此员工应该管理域名相关内容。https://github.com/alphachoi/lab/blob/80ea76b87a9929d34ca9250e28f0fa30ccf00dd2/sendmail/s
2014-07-30某交易网APP设计不当导致数据库泄漏下载
该APP的安卓客户端,设计问题导致数据泄漏,导致全站数据泄漏最近对安卓的app逆向挺感兴趣,然后对网上一些app进行安全测试,此app初入手时,发现其内部有mysql的jdbc驱动,然后就想应该有问题,在更多的反编译过程中发现其数据库配置直
2014-07-30