标签 ‘lxblog’ 下的日志

浅析LxBlog V6变量未初始化漏洞

作者:Flyh4t

本文已经发表在黑客防线,转载请署名

Lxblog 是 PHPWind 开发的一套基于 PHP+MySQL 数据库平台架构的多用户博客系统,强调整站与用户个体间的交互,拥有强大的个人主页系统、独立的二级域名体系、灵活的用户模板系统、丰富的朋友圈和相册功 能。但是该blog系统在安全性上并不让人满意,本文就来分析lxblog一个变量未初始化造成的sql注入漏洞。
阅读全文 »

Tags: , , ,

lxblog rss.php爆路径

作者:xy7[B.C.T]

$cid=(int)$_GET['cid'];
$uid=(int)$_GET['uid'];
$Rss_newnum=20;
$Rss_listnum=20;
$Rss_updatetime=10;
$cache_path=D_P.'data/cache/rss.php_'.$cid.'_cache.php';
……
http://www.12590.com/blog/rss.php?cid=12345
http://www.12590.com/blog/data/cache/rss.php_12345_cache.php
….
cache文件,里面写着<?xml version="1.0" encoding="gb2312"?>…

Tags: