漏洞预警

• 安全检测(41)
• 技术文档(269)
• 火车头采集(13)
• 漏洞预警(1693)

漏洞预警

• 春秋航空APP酒店订单可遍历下载

  修改reservationId即可随便查了两个

  2014-08-02

• 中信银行信用卡子站存在安全漏洞无需登陆查询他人开卡信息下载

  去年无意中通过浏览器抓包发现一个中信银行的漏洞，可以导致用户的信息泄露！在无需登录就可以查询别人在中信银行办了几张卡，卡的类型，卡号，是否开通网上银行，手机，电话，地址，邮箱，都是明文未加密的！而且未做隐藏！没有任何限制！查询N次都是没问题

  2014-08-02

• 乐蜂网csrf漏洞可通过改邮箱来改密码下载

  修改邮箱处存在csrf漏洞，如此一来就可以找回密码啦啦啦截到的post请求如下：u为用户编号，v为修改的邮箱，这个用户编号在浏览他人主页是可以得到的，请求中的s编号虽然变化但是试了下没什么用。返回2应该是正确，反正邮箱收到了哈。。邮箱修改成

  2014-08-02

• 迅雷云播SQL盲注下载

  迅雷云播一功能盲注，mysql 数据库1，漏洞图示一 2，漏洞图示二虽说是盲注，但是其危害也还是不可忽视的哦，一直是你们的铁杆用户^_^漏洞证明[1] [2] 下一页

  2014-08-02

• 中国电信互联星空某站SQL注入漏洞下载

  中国电信互联星空某站SQL注入漏洞注入点：http://v.sn.vnet.cn/search/list.jsp搜索的地方没进行过滤。 进行抓包。POST /search/list.jsp HTTP/1.1Host: v.sn.vnet.c

  2014-08-02

• QQ邮箱储存型XSS下载

  目前暂时没找到可利用场景，所以可以理解为self-xss吧，期待大牛们发现可利用的途径。其实主要就是提供一种思路，求忽略！~英文版的qq邮箱，附件夹可以编辑附件名字，但是过滤了xss。然而，中文版qq邮箱的附件夹，虽然不能修改附件名字，但是

  2014-08-02

• 淘宝可加载外部CSS文件下载

  设计师与商家合作，外部链接CSS？

  2014-08-02

• 178游戏网存在root权限SQL注射可夸跨库下载

  178游戏网存在root权限SQL注入,可夸库问题存在于个人中心http://i.178.com/~index.index?uid=1DB User & Pass: root:712bc5ee3d42fdc1:localhostroot:7

  2014-07-31

• 中国石油某营业厅用户密码修改漏洞下载

  中国石化某网站用户密码修改漏洞，涉及大量用户，大额金额。注册页面http://www.sinopecsales.com/gas/res/html/register.jsp测试输入一个用户名，已被注册，那就用这个吧。找回密码页面http://

  2014-07-31

• 豌豆荚某服务器数据库设置不当可被外部访问下载

  应该是channel.wandoujia.com的 mysql -h 60.29.246.4 -uroot -pEnter password: Welcome to the MySQL monitor. Commands end with

  2014-07-31