July 11, 2008 10:48 | by
漏洞说明:Z-Blog是一款基于Asp平台的Blog博客(网志)程序,支持 Wap,支持Firefox,Oprea等浏览器,在国内使用非常广泛,官方主页在http://www.rainbowsoft.org/。Z- blog代码严谨,前台功能简洁,后台功能强大,这为它的产品安全带来很大的优势,但是80sec在产品中发现一个严重的跨站脚本攻击漏洞,加上产品设计上的一些问题可能带来严重的后果。
July 10, 2008 09:24 | by
内网,很多人应该形成了这个概念,很多大型网络的外部网站或是服务器不一定有用,当然外网也是一个突破口。很多时候我们直接从外网入手,随着安全的不断加固,已变得越来越困难。那么黑客通常是怎么进行内网渗透的,内网渗透又是怎样与社会工程学联系起来呢,今天主要描述黑客内网渗透的常用操作手法,关于如何获得内网机器,请查找我以前的一篇文章《内网渗透---如何打开突破口》。
这个是前段时间做的个小脚本,没什么用,审计内部AD脆弱密码的。做这样一些简单的工作,脚本语言确实挺合适的。需要一个普通的AD账号,导出账户名,过滤掉禁用的,然后开始扫描。密码字典按照自己公司的实际情况写就好了,支持%USERNAME%123这样的格式。
July 8, 2008 18:59 | by
到了北京一直为酒店的事情而折腾来折腾去的··累死我了··创记录了··3 天换了 4 个酒店··自己都有点佩服我自己了··
刚到北京定的是一个叫什么桔子酒店的,但是到那发现房间不大,而且离用户那边也很远还很贵,没办法,只要再上网上去找酒店,后来又定了个宾馆,离用户那里倒是很近,就在对面,但是好脏啊,看起来很不正规,而且价格还比较贵··所以当时就决定继续换酒店···
刚到北京定的是一个叫什么桔子酒店的,但是到那发现房间不大,而且离用户那边也很远还很贵,没办法,只要再上网上去找酒店,后来又定了个宾馆,离用户那里倒是很近,就在对面,但是好脏啊,看起来很不正规,而且价格还比较贵··所以当时就决定继续换酒店···
July 8, 2008 11:04 | by
作者: Fenng
网址: http://www.dbanotes.net/security/ratproxy_google_xss.html
跨站脚本攻击(XSS, Cross Site Scripting) 可能是目前所有网站都比较头疼的问题,Google 也不例外。这次 Google 又做了一次雷锋,把内部用来审计 XSS 的工具开源了:ratproxy
网址: http://www.dbanotes.net/security/ratproxy_google_xss.html
跨站脚本攻击(XSS, Cross Site Scripting) 可能是目前所有网站都比较头疼的问题,Google 也不例外。这次 Google 又做了一次雷锋,把内部用来审计 XSS 的工具开源了:ratproxy
漏洞说明:QQ Mail是Tencent公司提供的webmail服务,你可以使用你的QQ帐户来登陆使用Mail服务,具体的信息可以访问 http://mail.qq.com/。但是80sec团队成员在QQ Mail里发现存在跨站脚本漏洞,恶意用户可以通过该漏洞在邮件里伪造登陆表单窃取目标用户的密码以及偷取Cookie以取得其他用户的身份,或者使用 ajax等技术读取用户的敏感信息。
刚到酒店,好累啊··一直睡到现在··困死了··今天一早上就起来了,提前 1 个多小时到机场,在机场睡了 2 次,竟然还没登机,真是郁闷··
好不容易熬到登机了,一上飞机就睡觉,累死了··一直到中午吃饭的时候才醒,到北京的时候都中午了··
北京,这个城市也有3 年没来了吧,不知道为什么,刚坐上机场大巴,看着两边的建筑和树木,我就感觉这就是北京,这是北京特有的风格···如果有人不告诉我这是北京的话,我想我也会猜到这就是北京吧··
定的酒店离机场还是有段距离的,不过还好,没有像上海机场那么远··坐了一会就到了····到酒店简单和项目接口人联系了下,了解下明天的项目启动时间以及项目的注意事项后就直接睡觉了··
好不容易熬到登机了,一上飞机就睡觉,累死了··一直到中午吃饭的时候才醒,到北京的时候都中午了··
北京,这个城市也有3 年没来了吧,不知道为什么,刚坐上机场大巴,看着两边的建筑和树木,我就感觉这就是北京,这是北京特有的风格···如果有人不告诉我这是北京的话,我想我也会猜到这就是北京吧··
定的酒店离机场还是有段距离的,不过还好,没有像上海机场那么远··坐了一会就到了····到酒店简单和项目接口人联系了下,了解下明天的项目启动时间以及项目的注意事项后就直接睡觉了··
据悉,Gmail、Hotmail和Yahoo信箱所使用的CAPTCHA图片验证码系统已经被攻破,现在以滥发广告、欺诈电邮为目的的垃圾邮件发送者,已经开始在黑市出售以这种方式注册的Gmail、Yahoo和Hotmail账户。
从来没有如此的刺激的赶过车···昨天算是体验过了··真是·····太累了·····
昨天早上在用户那边开完会回来打算下午就回长沙了,下午的时候去买票很幸运的买了张不错的车次···下午15:55 的车,软座,3 个多小时就到长沙了··
昨天早上在用户那边开完会回来打算下午就回长沙了,下午的时候去买票很幸运的买了张不错的车次···下午15:55 的车,软座,3 个多小时就到长沙了··
作 者:启明星辰信息技术股份有限公司 电信事业部 李久洪
目前各个移动公司正在如火如荼地开展着4A项目的安全建设,参照的依据是移动集团关于4A建设的规范,而规范中很少提出具体的实现方案和相应的设备。所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法,仅供参考。
目前各个移动公司正在如火如荼地开展着4A项目的安全建设,参照的依据是移动集团关于4A建设的规范,而规范中很少提出具体的实现方案和相应的设备。所谓的4A就是集中统一的账号(Account)管理、授权(Authorization)管理、认证(Authentication)管理和安全审计(Audit),缺一不可。在这里结合具体情况谈谈在移动省公司或地级市公司建设4A项目的一些想法,仅供参考。
继续出差中···从过年上班到现在,一直在出差··出差还将继续····将出差进行到底····目前的出差路线:
上海--成都--上海--杭州--上海---长沙---武汉----长沙---武汉--长沙--武汉--长沙--郴州---长沙--武汉--长沙--------- 下一站
上海--成都--上海--杭州--上海---长沙---武汉----长沙---武汉--长沙--武汉--长沙--郴州---长沙--武汉--长沙--------- 下一站
在80sec通知遨游存在的安全漏洞之后,遨游于6.30号发布了新版的浏览器,修复了前面提到的安全漏洞,具体更新可以见http://blog.maxthon.cn/,此次更新修复了三个安全问题,主要的问题细节如下:
漏洞来源:http://www.80sec.com/release/maxthon-vulns-poc.txt
漏洞来源:http://www.80sec.com/release/maxthon-vulns-poc.txt
