Pages: 19/93 First page Previous page 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 Next page Final page [ View by Articles | List ]

利用MS08-058攻击Google

  [阴 October 21, 2008 13:05 | by !4p47hy ]
来自:80sec

漏洞说明:Google是全球最大的搜索引擎。同时Google拥有其他庞大的WEB应用程序产品线,涉及EMAIL、BLOG、在线文档、个人主页、电子地图、论坛、RSS等互联网几乎所有的应用业务。80sec发现Google提供的图片搜索服务存在安全问题,结合IE浏览器的MS08-058漏洞可以造成整站的跨站脚本漏洞,几乎可以控制所有的Google服务和获得目标用户的认证信息。
Vulnerable:
Tru-Zone NukeET 3.4
FCKeditor FCKeditor 2.4.3
FCKeditor FCKeditor 2.0 rc3

Linx Oracle 自动攻击器

  [多云 October 19, 2008 10:26 | by !4p47hy ]
来源:linx2008
* 利用条件:
1.oracle服务器可以读取当前php脚本
*2.要运行系统命令,请先在oralce服务器创建 sys.LinxRunCMD() 函数
Tags: , , , , , ,

SCRT Webshag--Python写的web服务器审计工具

  [晴 October 15, 2008 08:56 | by !4p47hy ]
SCRT Webshag
IntroductionWebshag is a multi-threaded, multi-platform web server audit tool. Written in Python, it gathers commonly useful functionalities for web server auditing like website crawling, URL scanning or file fuzzing.

可恨的生物钟

  [晴 October 14, 2008 09:11 | by !4p47hy ]
这段时间很是郁闷,被生物钟搞得睡眠质量很差。这次做项目把自己的生物钟搞的乱七八糟,以前都是 8 点多 才起床的,这次在河北做项目,都是 7 点多就起床,然后最近每天早上一到 7 点,不用闹钟就自动醒了,包括周末。这是我最头疼的事情,一般周末都会玩的比较晚,譬如 3点多睡觉,早上 7 点多就醒了,每次醒来总是以为应该 10 点多了,可是一看时间才 7 点多,狂郁闷··然后倒头继续睡,但是这样继续睡的话,睡眠质量会非常的差,一般睡到 10 点多起床的时候,头肯定会晕晕的,起床的时候,一点力气都没有,还伴随着呕吐的感觉..做什么事情都提不起劲···很是郁闷··

新型.net一句话webshell及客户端

  [多云 October 13, 2008 18:19 | by !4p47hy ]
软件说明:
程序包 包括一个基于反射的.net 一句话木马,可以插入代码的模式运行。
Tags: , , , ,

CSRF with Flash

  [多云 October 13, 2008 15:09 | by !4p47hy ]
Author: lake2 [80sec]
EMail: lake2#80sec.com
Site: http://www.80sec.com
Date: 2008-10-04
From: http://www.80sec.com/release/csrf-with-flash.txt

[ 目录 ]

0×00 纯属扯淡
Tags: , ,

点击劫持(Clickjacking)漏洞技术内幕

  [多云 October 13, 2008 09:41 | by !4p47hy ]
来源:IT专家网

Clickjacking是OWASP_NYC_AppSec_2008_Conference的一个保密的议题,以下是一些攻击的描叙:

  当你访问一个恶意网站的时候,攻击者可以控制你的浏览器对一些链接的访问,这个漏洞影响到几乎所有浏览器以及所有版本的Flash等浏览器相关的第三方软件,除非你使用lynx一类的字符浏览器。

  这个漏洞与JavaScript无关,即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷。一个恶意网站能让你在毫不知情的情况下点击任意链接,任意按钮或网站上的任意东西。

快客电邮(QuarkMail)远程命令执行漏洞

  [晴 October 12, 2008 15:36 | by !4p47hy ]
来自:80Sec

漏洞说明:快客电邮(QuarkMail)是北京雄智伟业科技公司推出的电子邮件系统,被广泛用于各个领域的电子邮件解决方案,其webmail部分使用perl cgi编写,但是80sec在其系统中发现一个重大的安全漏洞,导致远程用户可以在邮件系统上以当前进程身份执行任意命令,从而进一步控制主机或者系统。
作者:Simeon  本文已投黑客手册杂志

本次渗透测试是随机性的,原因来自鬼仔的blog,在鬼仔的blog上面发表了一篇文章,其中提供了一款MySQLhack的工具,声称只要获取了Mysql数据库的用户名和密码并正确连接Mysql数据库服务器,就可以执行DOS命令、上传文件以及下载文件并执行等功能。软件需要Microsoft .NET Framework 2.0 支持,如果没有安装Microsoft .NET Framework 2.0则无法运行该软件。对于新工具,我从来都不会拒绝,而且这种好工具怎么能够放过,掌握以后,在渗透测试中非常有用,本次的故事,也就开始了!

“中国最牛政府网站”蹿红网络

  [多云 October 10, 2008 00:05 | by !4p47hy ]
今日有网友发帖曝光一个制作简陋的政府网站.短短时间内,这个被戏称为“中国最牛政府网站”的湖南省汉寿县鸭子港乡政府网站及其制作者“肖廷海”在网络上迅速蹿红.
在拥有政府部门专用的gov.cn域名后缀的“鸭子港乡政府”网站上,设置了政府概况、政务公开等栏目.但网站首页的主体部分被大量banner广告及AS学习大全、网页素材及HTML学习素材等内容占据.

MS Windows 2003 Token Kidnapping Local Exploit PoC

  [阴 October 9, 2008 12:40 | by !4p47hy ]
It has been a long time since Token Kidnapping presentation (http://www.argeniss.com/research/TokenKidnapping.pdf)
was published so I decided to release a PoC exploit for Win2k3 that alows to execute code under SYSTEM account.

Basically if you can run code under any service in Win2k3 then you can own Windows, this is because Windows services accounts can impersonate.  Other process (not services) that can impersonate are IIS 6 worker processes so if you can run code from an ASP .NET or classic ASP web application then you can own Windows too. If you provide shared hosting services then I would recomend to not allow users to run this kind of code from ASP.
作者:MJ0011

微点主动防御是一款号称使用行为分析技术实时保护的主动防御软件

其核心驱动MP110001.SYS最新版本存在本地权限提升漏洞,可导致任何权限的用户在本地提升权限到SYSTEM权限,绕过UAC等保护。同时也可以利用此漏洞注入到任何受保护进程,从而穿透防火墙、主动防御软件。

IT项目管理常犯的14个错误

  [晴 October 8, 2008 22:38 | by !4p47hy ]
Meridith Levinson 沈建苗 编译

有IT行业咨询师表示,只有29%的IT项目能最终成功地完成。这不是什么危言耸听,因为一些同样的项目管理错误,总是在不同的地点、不同的时间被重复。
将近70%的IT项目会超出预算或者是延期完成,究其原因,往往是缺乏良好的计划、通畅的内部沟通,以及合理的资源分配。
许多IT项目管理顾问和软件提供商经常抱怨,“甲方”总是一再犯下相同的错误。不是IT小组没有遵守标准的项目管理流程,就是没有相应的人员来开展项目,或者没有评估有可能危及项目的风险,也没有确定缓解这些风险的办法等等。诸如此类的错误还有一大堆,足以“致命”。
Pages: 19/93 First page Previous page 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 Next page Final page [ View by Articles | List ]