May 30, 2008 10:22 | by
by where(hackerb@126.com)
漏洞描述:
中国应用最广泛的论坛程序,最新dvbbs8.2的注入漏洞0day 包括官方版本在内的access及sql版本。漏洞存在源程序 login.asp
Login.asp 程序在检查隐藏值user用户名的登陆时没有过滤特殊符号,导致可以利用sql注入方式猜解出论坛管理员及所有用户的密码或者执行其它高级的sql语句直接威胁到服务器安全。
漏洞描述:
中国应用最广泛的论坛程序,最新dvbbs8.2的注入漏洞0day 包括官方版本在内的access及sql版本。漏洞存在源程序 login.asp
Login.asp 程序在检查隐藏值user用户名的登陆时没有过滤特殊符号,导致可以利用sql注入方式猜解出论坛管理员及所有用户的密码或者执行其它高级的sql语句直接威胁到服务器安全。
PS: 貌似在人家手里很久了,终于放出来了...
May 28, 2008 10:04 | by
出处:cnbeta
我取到了一份swf格式的exploits,测试了一下在Flash Player 9 .0.115的结果。
Adobe Flash Player 9 .0.115 在播放恶意构造的swf时,会自动下载一个可执行文件并执行,而我拿到的这个swf文件会自动下载一个downloader并运行,然后再由这个downloader下载其他预先指定的木马程序,相当的危险。
我取到了一份swf格式的exploits,测试了一下在Flash Player 9 .0.115的结果。
Adobe Flash Player 9 .0.115 在播放恶意构造的swf时,会自动下载一个可执行文件并执行,而我拿到的这个swf文件会自动下载一个downloader并运行,然后再由这个downloader下载其他预先指定的木马程序,相当的危险。
作者:空虚浪子心[XGC]
url跳转漏洞遍布各大网站,简单看一下,THE9、sohu等居然都存在这个漏洞!我们就拿sohu为例,讲一下该漏洞。来到sohu的用户注册页面,可以看到,在IE地址栏里,默认写着http://passport.sohu.com/web/signup.jsp?appid=1000&ru=http://login.mail.sohu.com/reg/signup_success.jsp。
url跳转漏洞遍布各大网站,简单看一下,THE9、sohu等居然都存在这个漏洞!我们就拿sohu为例,讲一下该漏洞。来到sohu的用户注册页面,可以看到,在IE地址栏里,默认写着http://passport.sohu.com/web/signup.jsp?appid=1000&ru=http://login.mail.sohu.com/reg/signup_success.jsp。
May 27, 2008 14:40 | by
By:Maple-x[B.C.T]
Site:http://www.neeao.com
Date:2008-5-27
刚从官方下载的最新版:F2blog-v1.2_build_03.01_full。
存在漏洞文件:xmlrpc.php
Site:http://www.neeao.com
Date:2008-5-27
刚从官方下载的最新版:F2blog-v1.2_build_03.01_full。
存在漏洞文件:xmlrpc.php
May 27, 2008 10:36 | by
来源:安全中国
在Web技术飞速演变、电子商务蓬勃发展的今天,企业开发的很多新应用程序都是Web应用程序,而且Web服务也被越来越频繁地用于集成Web应用程序或与其进行交互,这些趋势带来的问题就是:Web应用程序和服务的增长已超越了程序开发人员所接受的安全培训和安全意识的范围。web应用系统的安全风险达到了前所未有的高度。本文详细剖析了Web应用中的常见漏洞及攻击方式,全面分析web应用系统的安全风险。
在Web技术飞速演变、电子商务蓬勃发展的今天,企业开发的很多新应用程序都是Web应用程序,而且Web服务也被越来越频繁地用于集成Web应用程序或与其进行交互,这些趋势带来的问题就是:Web应用程序和服务的增长已超越了程序开发人员所接受的安全培训和安全意识的范围。web应用系统的安全风险达到了前所未有的高度。本文详细剖析了Web应用中的常见漏洞及攻击方式,全面分析web应用系统的安全风险。
Author : Psiczn
Website: www.psiczn.uni.cc
Contact: Psiczn@gmail.com
Note : If you are going to post this little paper in some site please put the source and the author, this paper have copyright.
Well I was looking my Blogspot and I saw something very bad, all the post sucks there is no a good one, so I make the decision to make a good one. First sorry if my English is not good I'm constantly practice. Ok let's start with this little paper,
Website: www.psiczn.uni.cc
Contact: Psiczn@gmail.com
Note : If you are going to post this little paper in some site please put the source and the author, this paper have copyright.
Well I was looking my Blogspot and I saw something very bad, all the post sucks there is no a good one, so I make the decision to make a good one. First sorry if my English is not good I'm constantly practice. Ok let's start with this little paper,
May 26, 2008 21:38 | by
来源:IT 专家网
随着萨班斯(SOX)法案内控审计要求的出台,提升了IT控制在企业内部控制中的重要性,对电信运营商IT设施的安全性提出了更高的要求,如何改进IT控制和完善IT治理,电信运营商的CIO们,面临着更大的挑战。潜心关注电信行业安全并不断创新的北京启明星辰信息技术有限公司结合多年在安全领域的丰富经验与最佳实践,推出了针对电信运营商SOX内控的安全域划分及边界整合解决方案,即:按照安全等级和网络风险的级别重新规划运营商的网络,进一步明确网络边界和风险,同时针对不同设备采取适宜的安全策略,从而实现全程全网的安全防范和管理,达到事半功倍的效果。
随着萨班斯(SOX)法案内控审计要求的出台,提升了IT控制在企业内部控制中的重要性,对电信运营商IT设施的安全性提出了更高的要求,如何改进IT控制和完善IT治理,电信运营商的CIO们,面临着更大的挑战。潜心关注电信行业安全并不断创新的北京启明星辰信息技术有限公司结合多年在安全领域的丰富经验与最佳实践,推出了针对电信运营商SOX内控的安全域划分及边界整合解决方案,即:按照安全等级和网络风险的级别重新规划运营商的网络,进一步明确网络边界和风险,同时针对不同设备采取适宜的安全策略,从而实现全程全网的安全防范和管理,达到事半功倍的效果。
May 26, 2008 14:23 | by
今天要到华中电网下面的几个所属公司去评估他们网络的安全性。本来说是可以不用下去的,没想到上个周末开项目阶段总结会的时候,用户要求对其所属公司的网络也要进行评估。郁闷··没办法,只有下去了...
之前曾报道过中国红十字基金会网站被挂了一个china.html的消息,当晚网站做了处理,而今天,这一网站再次出现了这一文件.
这种隐秘的入侵方式再次起作用,相信是同一黑客所为,这位入侵者以善意的方式向灾区致以哀悼并向中国红十字基金会提出了一些诉求.
地址:http://www.crcf.org.cn/china.html
这种隐秘的入侵方式再次起作用,相信是同一黑客所为,这位入侵者以善意的方式向灾区致以哀悼并向中国红十字基金会提出了一些诉求.
地址:http://www.crcf.org.cn/china.html
Gh0st RAT
C.Rufus Security Team
http://www.wolfexp.net
控制端采用IOCP模型,数据传输采用zlib压缩方式
稳定快速,上线数量无上限,可同时控制上万台主机
控制端自动检测CPU使用率调整自己的工作线程, 稳定高效
宿主为svchost以系统服务启动,有远程守护线程,上线间隔为两分钟。
C.Rufus Security Team
http://www.wolfexp.net
控制端采用IOCP模型,数据传输采用zlib压缩方式
稳定快速,上线数量无上限,可同时控制上万台主机
控制端自动检测CPU使用率调整自己的工作线程, 稳定高效
宿主为svchost以系统服务启动,有远程守护线程,上线间隔为两分钟。
