鬼仔's Blog

来源：zhuzhu's BLOG

只要输入：&extra%5B%5D=page%3D1#pid1453 就会出错，并显示出网站物理地址!

测试牛B站点 黑客基地

一样有漏洞！！！

解决方案：

config.inc.php里通 $errorreport = 1;

这个设置为0

这个和php的安全设置有关。

然后：

php.ini里

display_errors = Off （如果你没有主机权限那就看下面的。）
阅读全文 »

作者：IceskYsl@1st
来源：天马行空{1.S.T}(http://www.1steam.cn)/
申明：本站原创，欢迎转载，请注明来源天马行空{1.S.T}(http://www.1steam.cn)/
=============

首先，我们来讨论包含文件漏洞,首先要问的是,什么才是"远程文件包含漏洞"？回答是：服务器通过php的特性（函数）去包含任意文件时，由于要包含的这个文件来源过滤不严，从而可去包含一个恶意文件，而我们可以构造这个恶意文件来达到邪恶的目的。几乎所有的cgi程序都有这样的 bug，只是具体的表现方式不一样罢了。

一、涉及到的危险函数〔include(),require()和include_once(),require_once()〕

include() && require()语句:包括并运行指定文件。
阅读全文 »

作者：拖鞋王子 Mokfly 媒婆X

阅读全文 »

05年开始有人玩这样的游戏。。这好像是我第三次被点名了。。第一次、第二次、第三次 。
这次是被大O点到的。

游戏规则：
一、被点到名的博客要在自己的博客上回答本人问题的答案，并自己拟定五个问题，传到其他几个人的博客上，还要到这几个人的博客上留言通知对方“你被点名了”。
二、并且这几个人要在博客上注明是在哪接到的题目，我是被“大O”点的名。
阅读全文 »

来源：幻影

WordPress wp-trackback.php漏洞分析
文/Superhei 2007/1/9
1.Stefan Esser大牛2007/01/05发布的WordPress Trackback Charset Decoding SQL Injection Vulnerability [1]

Code:wp-trackback.php

$tb_url = $_POST['url'];
$title = $_POST['title'];
$excerpt = $_POST['excerpt'];
$blog_name = $_POST['blog_name'];
$charset = $_POST['charset'];
…….
if ( function_exists('mb_convert_encoding') 阅读全文 »

信息来源：x140yu

Cracked BY XiaoGuang

下载： s200711211528.rar

信息来源：cnBeta.COM

中文MSDN Webcast从2004年诞生至今已经开播了500多门课程,这些课程都是非常优秀的技术资料,很多爱好者都会选择将他们下载到自己的计算机上慢慢观看并做为长久收藏.然而如此众多的课程,1000多个文件,一个一个的下载、解压实在是一件可怕的工作,而这么多文件下载到硬盘上如何进行管理,如何将课程和文件一一对应起来,也是一件令人头疼的工作.

正是由于这些原因,iReaper诞生了.
他的设计理念非常简单,从一个统一的视角:
中文MSDN Webcast课程,为我们提供一个一站式的下载->解压->播放管理功能
使得这些网络视频资料能够更加充分的造福每一个开发者.

阅读全文 »

信息来源：cnBeta.COM

尊敬的QQ用户：
为了给广大QQ用户提供更加安全、专业、细致的服务，我们在对存有安全漏洞的QQ版本采取了一系列升级措施后，决定从即日起逐步终止存在安全漏洞的QQ版本的使用。

请收到版本停止使用通知的用户登录“腾讯软件中心”（ http://im.qq.com/qq/dlqq.shtml ），免费下载并安装最新的QQ版本，即可正常使用QQ。

绿色安全、健康有序的网络环境需要每一位网民的热心参与和积极配合。您在使用中遇到任何问题，欢迎到腾讯产品论坛进行反馈（ http://im.qq.com/bbs/ ）。如果您还需要进一步的咨询，请联系腾讯客服中心（ http://service.qq.com ）。

感谢您对我们长久以来的大力支持，愿QQ能带给您更加健康快乐的在线生活体验。
阅读全文 »