站长新闻
星外虚拟主机跨web目录文件读取漏洞下载
星外虚拟主机跨目录读取文件漏洞,需要一定条件。问题发生在以下文件,这些文件都没有严格的设置执行权限,当前的IIS用户能够顺利的利用它们执行命令: c:\windows\7i24IISLOG.exec:\windows\7i24IISLOG2
2014-04-28同程17u.cn主站SQL注射可致数据库泄露下载
同程 17u.cn 主站SQL注射 可致数据库泄露SQLMAP 获取数据库名称 和 数据表名称 演示,仅表名称,不再继续深入之前的漏洞都修补完了,但目测还是漏了一个漏洞位置:http://www.17u.cn/communityhotel.
2014-04-28拉手网IOS客户端SQL注入一枚多库下载
POST SQL注入一枚多库 大量敏感信息URL:http://go.client.lashou.com:80/index.php/Seven/mylist/cancel_order/STID/groupbuy_4.82_ipad_1000
2014-04-28Yxcms管理员SESSION伪造漏洞下载
yxcms是一款内容管理系统。借助后台一个CSRF起飞,伪造session可直接登录后台~我也是第一次见到这样有趣的漏洞,yxcms允许我们自定义session,而且这个过程通过get方式来完成。我觉得这样的问题属于CSRF,不经意之间就能
2014-04-28父母网某分站多处SQL注入漏洞下载
漏洞站点:http://taobao.fumu.com,和主站一样使用了phpcms2008,0day先不放,先试试Nday: 注射点:http://taobao.fumu.com/comment/comment.php?action=vo
2014-04-28Tencent Messenger(QQ) Dos vulnerability(critical)下载
com.tencent.mobileqq.activity.QQBrowserDelegationActivity这个activity组件可被任意第三方程序调用导致进程crash. Process Name: com.tencent.mob
2014-04-28某通用型政府信息公开平台SQL注入漏洞下载
虽是很简单的注入,但影响的gov很多1.漏洞存在ConInfoParticular.jsp文件,页面可通过POST、GET方式获取参数id的值,且均未过滤,导致SQL注入漏洞2.googledork:site:gov.cn inurl:Co
2014-04-28建站之星后台任意文件读取下载
访问:http:/target/sitestar/admin/index.php?_m=../../robots.txt%00&_a=admin_addrobots.txt是系统自带,虽然是后台文件,但是其实无需管理员权限即可访问如图:wi
2014-04-28一条短信引发的联通分公司数据泄漏下载
首先今天下午收到一条信息..第一眼看了还以为是啥。。。看见网站总有种冲动的赶脚。。然后我们打开看了 是中国联通安徽分公司的一个邮箱系统发现主站没啥东西 于是乎 看了下其他的服务器发现了http://112.122.11.135/各种数据下载
2014-04-28付宝某处越权可查看及删除其他用户的问题反馈图片下载
支付宝某功能存在用户越权访问可查看及删除其他用户的问题反馈支付宝提交建议处存在用户越权访问,通过遍历id可查看及删除其他用户反馈的截图---越权访问: https://egg.alipay.com/index.php?r=attachmen
2014-04-28