2008-11-11 09:51:58
LIE'S blog 更换新的服务器 原资料全部删除 此次更改为 纯技术发布
Discuz!的include/moderation.inc.php'二次攻击'SQL注入bug |
[ 2008-11-13 11:42:09 | 作者: Admin ]
由于Discuz!d的include/moderation.inc.php存在一个'二次攻击'导致数据库'注射'的bug
author: 80vul-B
team:http://www.80vul.com
一 分析
在文件include/moderation.inc.php里代码:
阅读全文…
author: 80vul-B
team:http://www.80vul.com
一 分析
在文件include/moderation.inc.php里代码:
$threadlist = $loglist = array();i
f($tids = implodeids($moderate)) {
$query = $db->query("SELECT * FROM {$tablepre}threads WHERE tid IN ($tids) AND fid='$fid' AND displayorder>='0' AND digest>='0' LIMIT $tpp");
while($thread = $db->fetch_array($query))
...f($tids = implodeids($moderate)) {
$query = $db->query("SELECT * FROM {$tablepre}threads WHERE tid IN ($tids) AND fid='$fid' AND displayorder>='0' AND digest>='0' LIMIT $tpp");
while($thread = $db->fetch_array($query))
阅读全文…
OWASP APPSec亚洲年会在台北盛大召开 |
[ 2008-11-13 11:39:38 | 作者: Admin ]
ps:明年将在印度召开,后年将到中国来,^_^。
OWASP APPSec 年会上周在台北国际会议中心召开, 这次会议吸引了1000人左右的Web安全爱好者和管理员参加, 除了ClickJacking很多议题包括malware的检测, 商务深度的渗透测试, 黑盒子防护, 黑盒白盒的互补等, 都引起很大兴趣. 也反映了应用安全的热度.
著名web安全专家Robert(RSnake, ha.ckers.org创始人)首次展示了点击截击地巨大危害. 在一个月前本来想要在拉斯维加斯黑帽子大会上发表的他, 由于危害巨大而被大会禁止发布, 这次在web安全最具权威的亚洲OWASP APPSEC上发布, 也算是名正言顺.
点击截击的最基本的描述和原理可以概括为当你点击某你认为安全和正常链接的时候, 其实实际上已经点击了黑客所希望你点击的, 这个链接有可能是同一个页面, 也有可能是不同的网站, ...
阅读全文…
OWASP APPSec 年会上周在台北国际会议中心召开, 这次会议吸引了1000人左右的Web安全爱好者和管理员参加, 除了ClickJacking很多议题包括malware的检测, 商务深度的渗透测试, 黑盒子防护, 黑盒白盒的互补等, 都引起很大兴趣. 也反映了应用安全的热度.
著名web安全专家Robert(RSnake, ha.ckers.org创始人)首次展示了点击截击地巨大危害. 在一个月前本来想要在拉斯维加斯黑帽子大会上发表的他, 由于危害巨大而被大会禁止发布, 这次在web安全最具权威的亚洲OWASP APPSEC上发布, 也算是名正言顺.
点击截击的最基本的描述和原理可以概括为当你点击某你认为安全和正常链接的时候, 其实实际上已经点击了黑客所希望你点击的, 这个链接有可能是同一个页面, 也有可能是不同的网站, ...
阅读全文…
1
