来源:DSW Avert
一、事件分析:
DSW Lab AVERT小组监测到一个高度危险讯雷漏洞被曝光,该漏洞发生在Web迅雷的一个控件上,当安装了Web迅雷的用户在浏览黑客精心构造的包含恶意代码的网页后,会下载任意程序在用户系统上以当前用户上下文权限运行。
Web迅雷1.7.3.109版之前的版本均受影响。
根据BCT组织分析,该漏洞产生细节如下:
WEB讯雷组件的名称:ThunderServer.webThunder.1,可以采用JS代码ActiveXObject("ThunderServer.webThunder.1");来激活讯雷的组件。其中的关键函数包括:
SetBrowserWindowData:新建浏览器窗口。
SetConfig:设置WEB讯雷。
阅读全文 »
Tags: Web迅雷,
漏洞
作者:茄子宝
来源:茄子乱语
直接用日志显示源代码方式编辑写入
XSS
<P><STRONG>
<STYLE>@im\port'\ja\vasc\ript:alert("XSS")';</STYLE>
</STRONG></P>
此处脚本漏洞存在有一定的风险,可能导致挂马,威胁到用户,密码,COOKIE等敏感信息,已通知官方处理等待更新程序.
Tags: X-Space,
XSS
鬼仔注:很有名的一个黑客游戏,以前玩过,现在有更新了。
信息来源:cnBeta
这是英国Introversion Software出的一个游戏,在游戏中你将要扮演一个神通广大的黑客,在网络上接受任务,然后破解世界各地的电脑系统.虽然现实中的黑客并非都是如此简单的,但也可以让你领略到做黑客的滋味.
游戏里不需要你懂得太多的专业知识,反而会教你许多东西,只要你英语过得去.你是作为UPLINK的一个黑客,注册了以后你会得到一笔初始的资金和初始的软硬件.如果你熟悉黑客的知识,你可以自己去做,如果不会的话,会有一个教学模式一步一步的教你,我这个菜鸟也看得懂要做什么.然后你的等级会上升,你就可以正式在UPLINK的SERVER上联系客户,接取工作,完成工作就会获得回报(当然是钱啦)等级越高,任务的难 阅读全文 »
Tags: Uplink
鬼仔注:这么长时间了,终于有更新了,上次的更新是安全更新,这次才是一次功能上的更新。
来源:My Blog(SiC)
这么久没动过的 LBS, 终于被 spam 拉下水了.
因为新版还没时间写完, 只能对旧版本做些小更新.
这个版本只在后台增加了一个评论最大 url 数目限制, 默认值为 2.
这个限制对评论, trackback 和留言簿有效, 编辑评论时再保存不受此限制影响.
虽然不能完全解决 spam 的问题, 但至少还可以先凑合一下 :mad:
(我先打开 trackback 试试…)
下载: http://voidland.com/files/lbs2.0.311.zip
上传完后请使用 _upgrade_2.0.304_2.0.310.asp 升级数据库, 阅读全文 »
Tags: LBS
鬼仔注:自己看下说明吧,google hacking的时候比较有用的。
来源:RootShell Security Group
Google Site Indexer (GSI) is a program designed to create a directory listing when a site has turned directory listing off. It sends requests to google using the site operator. Also it gets the sites robots.txt file.
Usage:
GSI Website [flags]
Avaliable flags:
-t n waits 阅读全文 »
Tags: Google,
Hacking
鬼仔注:perl写的,文章末尾有界面截图。
来源:RootShell Security Group
Custom_HTTP_Request_sender.txt
截图1
截图2
Tags: HTTP
鬼仔注:H4cky0u大家应该知道吧?国外一个有名的安全组织,我记得以前有次H4cky0u关闭,是因为被黑了,数据库也被删除了好像。
刚才在一个国外的坛子上看到这个H4cky0u的数据库,感兴趣的下吧。一共两个文件。
来源:RootShell Security Group
we have shared h4cky0u database and sent mail to 40,000 hackers emails ,and removed all of their files in their FTP server and hacked the rezen and shared all of his private scripts ,but he is believer 阅读全文 »
Tags: H4cky0u,
数据库