rosicky311(小浩）[HACKBASE]_博客

文章列表

您正在查看 "网络安全" 分类下的文章

Microsoft 安全公告摘要(2008年7月) - 四个重要等级更新

2008-07-09 14:14

微软公布了七月安全公告的预告,本月微软发布了四个重要等级的更新.
其中2个影响Windows,1个是SQL的提权漏洞,1个Exchange Server的提权漏洞.这些漏洞届时都可以被Baseline Security Analyzer检测并更新.对于 2008年7月发布的安全公告,本公告摘要替代2008年7月3日最初发布的公告预先通知.

查看:

阅读全文>>

类别：网络安全 | 评论(0) | 浏览()

QQ Mail跨站脚本漏洞

2008-07-08 11:53

漏洞说明：QQ Mail是Tencent公司提供的webmail服务，你可以使用你的QQ帐户来登陆使用Mail服务，具体的信息可以访问 http://mail.qq.com/。但是80sec团队成员在QQ Mail里发现存在跨站脚本漏洞，恶意用户可以通过该漏洞在邮件里伪造登陆表单窃取目标用户的密码以及偷取Cookie以取得其他用户的身份，或者使用 ajax等技术读取用户的敏感信息。

漏洞成因：QQ Mail的Javascript Dom部分在处理邮件内容

阅读全文>>

类别：网络安全 | 评论(3) | 浏览()

风讯注入exp(hta版)

2008-07-06 19:28

作者：lcx
转自：多灾多难的鬼仔

<SCRIPT LANGUAGE="VBScript">
Sub Window_onLoad
window.resizeTo 450,380
window.moveTo 300, 300
End Sub
</SCRIPT>

<SCRIPT LANGUAGE="VBScript">
Function getHTTPPage(Path)
t = GetBody(Path)
getHTTPPage = BytesToBstr(t, "GB2312")
document.getElementById("url").innerText=getHTTPPage
End Function
</script>
<SCRIPT LANGUAG

阅读全文>>

类别：网络安全 | 评论(0) | 浏览()

Microsoft IE帧位置绕过跨域安全限制漏洞

2008-07-04 13:48

更新日期：2008-07-03

受影响系统：

Microsoft Internet Explorer 8.0b
Microsoft Internet Explorer 7.0
Microsoft Internet Explorer 6.0

描述：

BUGTRAQ ID: 29986

Internet Explorer是微软发布的非常流行的WEB浏览器。

Internet Explorer没有正确地限制对文档帧的访问。攻击者可以用任意内容替换网页的帧的内容，Internet

阅读全文>>

类别：网络安全 | 评论(0) | 浏览()

风讯API_Response.asp注入漏洞

2008-07-03 13:53

发布时间:2008-07-01
受影响版本:
4.0 sp5[mssql]
描述:
API/API_Response.asp变量username未经过滤传值，带入sql执行，导致注入产生。

If CheckPost() Then
Select Case Act
Case "checkname" '触发注入
Checkname()
CheckPost()函数原型在行73-96，username由此获取值，代码如下:
XmlDoc.documentElement.selectSingleNode("username")
Checkname()函数在行233-254，代码如下：
Sub Checkname()
Dim UserEmail
Dim T

阅读全文>>

类别：网络安全 | 评论(0) | 浏览()

OBLOG Class_UserCommand.asp注入漏洞

2008-07-02 21:34

发布时间:2008-5-15
受影响版本:
Oblog 4.5-4.6 sql
描述:
文件In/Class_UserCommand.asp :

strMonth=Request("month") //第63行

strDay=Request("day")

……

Case "month" //第84行

Dim LastDay

G_P_FileName = G_P_FileName & "month&month=" & strMonth

strDay=Left