Pages: 1/3 First page 1 2 3 Next page Final page [ View by Articles | List ]

拿下DVBBS php官网

  [阴 August 30, 2008 11:19 | by !4p47hy ]
文章作者:oldjun[S.U.S]
信息来源:oldjun's blog

注意:文章已经发表在2008第7期《黑客手册》上,转载请注明出处。(最近拿站比较多,没来得及写日志,拿这篇文章凑数!)
几 个月前,DVBBS php2.0暴了一个可以直接读出管理员密码的sql注入漏洞,当时这个漏洞出来的时候,我看的心痒,怎么还会有这么弱智的漏洞,DVBBS php2.0这套代码我还没仔细看过,于是5月中旬我down下来粗略看了下,接着我花了三天的时间,拿下p.dvbbs.net,即动网php的官方网 站,并得到了webshell。总的来说,这次入侵凭的是二分技术加一分运气。

IE8 安全警告

  [雨 August 29, 2008 17:14 | by !4p47hy ]
来源:80sec

漏洞说明:IE8是微软新推出的一款浏览器,其对CSS2.1的完整支持,HTML5的支持,内置开发工具等等。IE8在浏览器安全性上有非常大的改进,内置了一款无法卸载的Xss Filter,对非持久型跨站脚本攻击做了比较好的防护。但是80sec在测试IE8时,发现IE8在设计Xss Filter时存在逻辑上的错误,可能导致一些原本不存在漏洞的站点出现安全问题,并且IE8也并没有从根本上解决跨站脚本攻击问题,甚至针对非持久型跨站脚本攻击在变通攻击方法之后一样可能被利用。而在一些书写不严谨的web站点上,IE8的Xss Filter根本发挥不了任何作用。
来源:CB

近来不断高调“维稳”的中国证监会也许没想到,券商、基金的交易系统竟如此不稳定。基金业人士透露,中国证监会日前对基金公司的IT系统抽查结果令人极其意外,多数公司的IT系统不够稳定,而更让人担忧的是,券商的IT系统在被证监会“黑客”侵入后竟浑然不知。据透露,席卷全国的基金公司IT系统大抽查已经结束。中国证监会日前对抽查结果进行了内部通报:在24家被抽查的基金公司中,17家基金公司IT系统的稳定问题较为严重,而其中4家基金公司的IT系统安全问题则非常严重。

QQ Mail 跨站脚本漏洞

  [晴 August 26, 2008 16:59 | by !4p47hy ]
来源:80Sec

漏洞说明:QQ Mail是Tencent公司提供的webmail服务,你可以使用你的QQ帐户来登陆使用Mail服务,具体的信息可以访问http://mail.qq.com/。但是80sec在QQ Mail里发现存在新的严重跨站脚本漏洞,恶意用户可以通过该漏洞在邮件里伪造登陆表单窃取目标用户的密码以及偷取Cookie以取得其他用户的身份,或者使用ajax等技术读取用户的敏感信息,任何浏览该邮件的用户都存在身份泄漏的风险。
Tags: , , , ,

清华大学网站被黑 黑客捏造新闻报道

  [雨 August 25, 2008 12:19 | by !4p47hy ]
新闻来源:Solidot
清华大学网站被黑,黑客宣称现行的大学教育制度就是“在往学生们的脑子里灌屎”。黑客捏造了一篇清华大学校长顾秉林接受采访的新闻报道,批评现行教育制度:顾秉林校长表示,在二十世纪初至40年代,可以说是中国教育界的黄金时期,在这段时间以内中国的大学为社会培养出了大批的优秀人才,他们中有伟大的思想家、教育家,有革命义士、抗日英雄,有科学骨干、民族精英。而这种盛况自从解放后尤其是九十年代开始衰落。现在的各高校,包括清华与北大在内,已经没有将培养人才作为大学教育的目标。
来源:CB

安全人员已经发现“加密套接字协议层”(SSL)存在漏洞,黑客很容易通过Wi-Fi网络能够拦截那些貌似安全的网站通讯,目前,Google已经在着手 改进SSL机制,而其他网站,像Facebook、雅虎邮件、Hotmail等保持沉默.Riverbed逆向工程师Mike Perry宣布,他发现网站用于安全保护的SSL机制存在漏洞.过去,很多网站过去在登录页面时没有使用SSL机制,这会让用户数据的cookies暴露 给其他人.
Tags: , , ,

Windows与Linux本地用户提权体验

  [雷阵雨 August 23, 2008 11:39 | by !4p47hy ]
作者: 甘肃老五

无论是Windows系统还是Linux系统都是基于权限控制的,其严格的用户等级和权限是系统安全的有力保证。这么严密的用户权限是否不可逾越呢?下面笔者反其道而行之进行Windows及Linux下的提权测试。

解析蜜罐技术要点及其潜的在问题

  [多云 August 21, 2008 16:24 | by !4p47hy ]
来源:51CTO

蜜罐可以这样来定义:它是一种其价值在于被探测、攻击、破坏的系统。也就是说蜜罐是一种我们可以监视观察攻击者行为的系统,其设计目的是为了将攻击者的注意从更价值的系统引开,或者说是为了提供对网络入侵的及时预警。

  本文将讨论现有的蜜罐技术及相关技术的关键不同要点。

NSLOOKup存在0day漏洞

  [多云 August 20, 2008 09:34 | by !4p47hy ]
来源: CB
微软 NSLOOKup.exe 被报存在0 day 漏洞,攻击者主动应用该漏洞将引起主机拒绝服务或执行任意代码.微软表示正在调查此漏洞.
含技术演示.
Tags: , , ,

入侵的艺术(无线渗透)

  [多云 August 19, 2008 22:15 | by !4p47hy ]
本文作者:OrphousV
原文请访问:http://blog.orphousv.cn

  Bacchus昨晚一宿都没睡好,一是因为昨天深夜下了场大暴雨,电闪雷鸣的,二是内心空虚。他已经好长时间没有练手的机会了,以致他曾一度怀疑自己是不是被遗忘了。这天一大早,电话就叫嚷起来,把他从睡梦中猛地拉了出来。当他晕晕地接听电话时,他竟然从床上蹦了下来。事实说明,他并未被遗忘。

XSS攻击防御技术白皮书

  [多云 August 19, 2008 11:04 | by !4p47hy ]
作者: 独自等待

XSS攻击:跨站脚本攻击(Cross Site Scripting),为不和层叠样式表(Cascading Style Sheets, CSS)的缩写混淆。故将跨站脚本攻击缩写为XSS。XSS是一种经常出现在web应用中的计算机安全漏洞,它允许恶意web用户将代码植入到提供给其它用户使用的页面中。比如这些代码包括HTML代码和客户端脚本。攻击者利用XSS漏洞旁路掉访问控制——例如同源策略(same origin policy)。这种类型的漏洞由于被骇客用来编写危害性更大的phishing攻击而变得广为人知。对于跨站脚本攻击,黑客界共识是:跨站脚本攻击是新型的“缓冲区溢出攻击“,而JavaScript是新型的“ShellCode”。
很黄很暴力···猜测很多···

XSS Private Messagging On PhpBB3(0day)

  [多云 August 18, 2008 12:51 | by !4p47hy ]
################################################## ####################################
# #
# Authors: Dante90, WaRWolFz Crew #
# T0T4L, Ex Member Crew #
# Title: XSS Private Messagging On PhpBB3 By Dante90 [0-Day & Priv8] #
# MSN: dante90.dmc4@hotmail.it #
# Web: www.warwolfz.org #
# Description: XSS (Cross Site Scripting), Grab Status: 100%. #
# #
################################################## ####################################
XSS Private Messagging On PhpBB3 By Dante90 [0-Day & Priv8]
Tags: , , , , , , ,

抵达上海

  [多云 August 17, 2008 19:16 | by !4p47hy ]
昨天终于抵达上海了···出差了 4 个多月,不容易啊···呵呵··廊坊的项目暂时告一段落了, 可以先回上海休整下,下个月初再去··

到了上海才知道,上海真的好闷啊···刚下飞机,就感到一股热浪,让人有点窒息的感觉···在回家的路上竟然又遭遇暴雨,虽然下了好大的雨,但是似乎温度并没有下降多少··还是很热的···
Pages: 1/3 First page 1 2 3 Next page Final page [ View by Articles | List ]