Pages: 6/10 First page Previous page 1 2 3 4 5 6 7 8 9 10 Next page Final page [ View by Articles | List ]

PHP 168 SQL注射漏洞

  [晴 July 12, 2008 19:24 | by !4p47hy ]
来源:80 sec
漏洞说明:历经数年开发与完善的”PHP168整站系统”是国内最早的多功能模块化网站管理软件系统;不仅适合于建设一般的企业、政府、学校、个人等小型网站,同时也适合于建设地区门户、行业门户、收费网站等大中型网站,80sec在其产品中发现了一个严重的SQL注射漏洞,可能被恶意用户查询数据库的敏感信息,如管理员密码,加密key等等,从而控制整个网站。

Z-blog跨站脚本攻击漏洞

  [阴 July 11, 2008 10:48 | by !4p47hy ]
漏洞说明:Z-Blog是一款基于Asp平台的Blog博客(网志)程序,支持 Wap,支持Firefox,Oprea等浏览器,在国内使用非常广泛,官方主页在http://www.rainbowsoft.org/。Z- blog代码严谨,前台功能简洁,后台功能强大,这为它的产品安全带来很大的优势,但是80sec在产品中发现一个严重的跨站脚本攻击漏洞,加上产品设计上的一些问题可能带来严重的后果。

QQ Mail跨站脚本漏洞

  [晴 July 7, 2008 21:30 | by !4p47hy ]
漏洞说明:QQ Mail是Tencent公司提供的webmail服务,你可以使用你的QQ帐户来登陆使用Mail服务,具体的信息可以访问 http://mail.qq.com/。但是80sec团队成员在QQ Mail里发现存在跨站脚本漏洞,恶意用户可以通过该漏洞在邮件里伪造登陆表单窃取目标用户的密码以及偷取Cookie以取得其他用户的身份,或者使用 ajax等技术读取用户的敏感信息。
Tags: , , , ,

遨游修复的几个安全漏洞

  [晴 July 1, 2008 13:40 | by !4p47hy ]
在80sec通知遨游存在的安全漏洞之后,遨游于6.30号发布了新版的浏览器,修复了前面提到的安全漏洞,具体更新可以见http://blog.maxthon.cn/,此次更新修复了三个安全问题,主要的问题细节如下:

漏洞来源:http://www.80sec.com/release/maxthon-vulns-poc.txt

Ruby WEBrick远程目录遍历漏洞

  [多云 June 30, 2008 18:53 | by !4p47hy ]
来源:Hacker ART
受影响系统:

Yukihiro Matsumoto Ruby 1.9.x
Yukihiro Matsumoto Ruby 1.8.x

Word 0day POC发布了

  [晴 June 24, 2008 17:16 | by !4p47hy ]
from:Sowhat的blog

Microsoft Word Bulleted List Handling Remote Memory Corruption Vulnerability

http://www.securityfocus.com/data/vulnerabilities/exploits/crash-word-1.doc
Tags: , , , , , ,

Maxthon遨游浏览器多个高危0day

  [阴 June 20, 2008 11:35 | by !4p47hy ]
来源:80sec
冷漠PS:我也一直用遨游,时刻关注官方补丁ing ....
漏洞说明:傲游浏览器是一个强大的多页面浏览器. 除了方便的浏览功能, 傲游浏览器还提供了大量的实用功能改善用户的上网体验,其在中国浏览器市场拥有大量的用户,以安全,界面友好著称。但是80sec安全组织发现遨游在安全处理上存在安全漏洞,导致恶意站点可以修改任意用户配置,读取用户历史访问记录,远程下载文件等种种恶意操作。
Tags: , , , , ,

揭密鬼页 浅析浏览器跨域安全问题

  [阴 June 19, 2008 14:41 | by !4p47hy ]
来源:IT 专家网
Manuel Caballero在BLUEHAT大会探讨了《A Resident in My Domain》议题,字面上的意思就是驻留在自己的域,随后开始有国内的安全研究人员在BLOG上写了一些相关的内容,这段时间一直和HI群里的朋友在讨论这个问题,大家都简称为鬼页,这个鬼页非常神奇,可以跟随你浏览的每个页面。经过鬼页的启发,我也对浏览器的跨域安全问题进行了测试。
Tags: , , , , ,

Yahoo! 统计功能跨站脚本漏洞

  [阴 June 19, 2008 10:34 | by !4p47hy ]
来源: 80sec

漏洞说明: yahoo统计功能被广泛用于站点的访问统计,用于做各种数据分析如访问来源,客户访问页面统计等等,具体信息可以访问网址http://tongjia.yahoo.cn。但是80sec发现该功能存在严重的漏洞,可能导致用户信息被窃取,并且可以占有该用户的yahoo ID,进入包括mail.yahoo.cn之内的其他服务。
Tags: , , , , ,

微软Windows WINS服务本地权限提升漏洞

  [多云 June 17, 2008 07:57 | by ]
来源:IT Lab
Microsoft Windows是微软发布的非常流行的操作系统。Windows中的WINS服务没有充分验证特制WINS网络报文内的数据结构,可能允许本地攻击者使用提升的权限运行代码。
by cocoruder(frankruer_at_hotmail.com)
http://ruder.cdut.net

Summary:

Thunder is a very popular downloading software in China, which uses P2SP technology, more details please visit:

phpwind注册漏洞

  [多云 June 1, 2008 08:54 | by ]
漏洞发布:http://www.80sec.com/

漏洞作者:jian...@80sec.com

漏洞厂商: http://www.phpwind.com/
PHPWind 论坛系统 是一套采用 php+mysql 数据库 方式运行并可生成 html 页面的全新且完善的强大系统。因具有非凡的访问
速度和卓越的负载能力而深受国内外朋友的喜爱。 本漏洞影响phpwind所有版本

VMware Server Console ActiveX DOS POC

  [晴 May 29, 2008 13:55 | by ]
PS: 貌似在人家手里很久了,终于放出来了...
Tags: , , , , , ,
出处:cnbeta
我取到了一份swf格式的exploits,测试了一下在Flash Player 9 .0.115的结果。

Adobe Flash Player 9 .0.115 在播放恶意构造的swf时,会自动下载一个可执行文件并执行,而我拿到的这个swf文件会自动下载一个downloader并运行,然后再由这个downloader下载其他预先指定的木马程序,相当的危险。

F2blog XMLRPC 上传任意文件漏洞

  [雨 May 27, 2008 14:40 | by ]
By:Maple-x[B.C.T]
Site:http://www.neeao.com
Date:2008-5-27
刚从官方下载的最新版:F2blog-v1.2_build_03.01_full。
存在漏洞文件:xmlrpc.php
Tags: , , , ,
Pages: 6/10 First page Previous page 1 2 3 4 5 6 7 8 9 10 Next page Final page [ View by Articles | List ]