漏洞预警

• 安全检测(41)
• 技术文档(269)
• 火车头采集(13)
• 漏洞预警(1693)

漏洞预警

• 完美时空某接口站sql注射下载

  完美时空某接口站sql注入问题站点： http://aapi.sd.wanmei.com/看了下，各种接口注射链接： http://aapi.sd.wanmei.com/index.php/api/goods/getList?limit=1

  2014-07-27

• 天天动听某后台可推送客户端广告以及修改重要系统信息下载

  首先：google site：ttpod.com inurl:login得到一处业务管理后台：http://ayyc.ttpod.com中未修复的注入点，可以拿到管理员帐号密码。（注：注入点用sqlmap跑会有几个502错误，但完全不影响获

  2014-07-27

• 百度云加速waf绕过下载

  http://www.im286.com/forum.php?id=1 and 1=1通过这个知道 该网站用了 百度云加速的waf。但是百度waf由于没有对%号字符做处理 导致SQL注入被绕过。这是我自己搭的环境。htpp://192.16

  2014-07-27

• MediPro最新版注入漏洞及后台get shell下载

  MediPro 有多套cms网站存在过滤不严，存在注入漏洞，后台可以绕开登录，get shell，获取服务器权限。/* 呃，官网默认是zend加密的代码，需要解密。*/百度了下，，还是很多网站使用。。1、后台绕开登录漏洞在服务器没有开mag

  2014-07-27

• 使用apmserv搭建站点采用默认配置可拿下服务器权限下载

  apmserv的默认配置不当，轻则暴露目录内容、查看数据库，重则上传shell直接拿到服务器3389权限百度搜索“Index of Apache/2.2.9 (APMServ) mod_ssl/2.2.9 OpenSSL/0.9

  2014-07-27

• TCL集团邮件系统后台存在post注入下载

  TCL集团邮件系统后台存在post注入，危害有点小大噢。http://magazine.tcl.com/en/manager/login.aspx?ReturnUrl=%2fen%2fmanager%2fDefault.aspx只检测了一下

  2014-07-27

• 土豆网审核平台xss盲打下载

  上传视频的时候标题和简介填代码如图补图的时候进去还被别人弹框了- -修复方案：过滤

  2014-07-27

• 宜搜某分站SQL注射拿到系统用户库，进入后台下载

  宜搜某分站SQL注入拿到系统用户库，进入后台这个是四月份拿到的了，一直没有提交注入点：http://ad.easou.com/admin/newsNoticeShowById.admin?id=1现在没有测试这个注入点是否还存在,找到一个t

  2014-07-25

• 寻医问药任意用户登入漏洞下载

  这个漏洞比较奇怪。在修改完数值后，需要点击加入任意一个病友圈，然后从网站首页，到各二级域名频道如（论坛、商城、积分兑换）之类的都跳一遍，然后再回到病友圈。 发了帖子测试了。你们删一下。。 修复方案：另外，如果在修改完数值后，到处一顿乱跳，还

  2014-07-25

• 如家宾馆WIFI密码缺陷和暴力破解下载

  如家宾馆开放了WIFI网络，使用房间号作为用户名、入住人员的名字为密码。并且使用WEB进行校验。 由于存在两个设计缺陷，导致可以绝对成功地通过WIFI登录校验。一、密码设计缺陷,密码为入住人员姓名拼音首字母，这个设计导致只需要早1万多个组合

  2014-07-25