来源:IT专家网

Clickjacking是OWASP_NYC_AppSec_2008_Conference的一个保密的议题，以下是一些攻击的描叙：

　　当你访问一个恶意网站的时候，攻击者可以控制你的浏览器对一些链接的访问，这个漏洞影响到几乎所有浏览器以及所有版本的Flash等浏览器相关的第三方软件，除非你使用lynx一类的字符浏览器。

　　这个漏洞与JavaScript无关，即使你关闭浏览器的JavaScript功能也无能为力。事实上这是浏览器工作原理中的一个缺陷。一个恶意网站能让你在毫不知情的情况下点击任意链接，任意按钮或网站上的任意东西。

来自：80Sec

漏洞说明：快客电邮（QuarkMail）是北京雄智伟业科技公司推出的电子邮件系统，被广泛用于各个领域的电子邮件解决方案，其webmail部分使用perl cgi编写，但是80sec在其系统中发现一个重大的安全漏洞，导致远程用户可以在邮件系统上以当前进程身份执行任意命令，从而进一步控制主机或者系统。

作者：MJ0011

微点主动防御是一款号称使用行为分析技术实时保护的主动防御软件。

其核心驱动MP110001.SYS最新版本存在本地权限提升漏洞，可导致任何权限的用户在本地提升权限到SYSTEM权限，绕过UAC等保护。同时也可以利用此漏洞注入到任何受保护进程，从而穿透防火墙、主动防御软件。

受影响系统：

调用以下内核解析RSS的RSS阅读器：
INTERNET EXPLORER ver<= IE7 （其他版本未经测试，估计也有）
OPERA ver <=9.52

在支付宝宣布用户超过1亿大关的当口，现在可能陷入泄露用户隐私漩涡。今天早上有网友爆料，一家名叫“不垮红客”的网站已经将支付宝的用户资料公布在网上，只需输入支付宝用户注册姓名的邮箱地址就可以查到其真实姓名、注册日期和具体的交易笔数。

by CuteK
一、背景知识

由文件格式入手,来分析MS08-052漏洞, 并构造了一个可以使没有补丁的程序崩溃的图片,

1 WMF文件结构

文章作者：friddy
信息来源：邪恶八进制信息安全团队（www.eviloctal.com）

注：文章首发Friddy的罐子，后由原创作者友情提交到邪恶八进制信息安全团队讨论组，转载请著名首发站点。

本文章只含有漏洞存在的证明，效果是运行计算器的程序，不含有攻击性代码！

By：Neeao

据说是Neeao在ISF2008研讨会上的议题的ppt，主要是关于代码审计方面的一些东东，有兴趣的朋友看下了。

发布日期：2008-09-15
更新日期：2008-09-17

受影响系统：

phpMyAdmin phpMyAdmin < 2.11.9.1

微软在近日凌晨爆出有史以来最大的安全漏洞，通过该漏洞，攻击者可以将木马藏于图片中，网民无论是通过浏览器浏览、还是用各种看图软件打开、或者在即时聊天窗口、电子邮件、Office文档里查看这些图片，只要看了就会中招!哪怕只是看了一个QQ表情!其危害程度远远超过以往微软公布过的任何安全漏洞。

Maxthon Browser 2.1.4.443 UNICODE Remote Denial of Service PoC

Summary: Maxthon Browser is a powerful tabbed browser built for all users. Besides basic browsing functionality, Maxthon Browser provides a rich set of features to improve your surfing experience.

Product web page: http://www.maxthon.com

1、注册一个用户，用户名script，密码123456
2、发布一篇日志，日志标题：测试一下
3、个人前台首页找到日志"测试一下"，点"推荐"
4、个人后台管理，选择"常用"选项中的"推荐日志"，然后点"测试一下"日志后面的修改，把摘要内容修改成：

Wordpress 2.6.1 (SQL Column Truncation) Admin Takeover Exploit

来源：80sec

漏洞说明：IE8是微软新推出的一款浏览器，其对CSS2.1的完整支持，HTML5的支持，内置开发工具等等。IE8在浏览器安全性上有非常大的改进，内置了一款无法卸载的Xss Filter，对非持久型跨站脚本攻击做了比较好的防护。但是80sec在测试IE8时发现，IE8的Xss Filter存在漏洞，导致在一些东方国家的版本里根本不能阻止URL Xss，譬如在中文版本里，利用一些简单的数据就可以Bypass掉IE8的Filter策略。

来源：坏狼安全网
eWebEditorNet 主要是一个upload.aspx文件存在上传漏洞。
原理：

代码