12306用户信息泄露,包含大量用户名、明文密码、验证邮箱等。乌云平台上看到的消息,详见http://www.wooyun.org/bugs/wooyun-2014-088532。目前根据厂商的回应,貌似是第三方抢票软件导致的。从乌云上截了个图,大家看吧,快去改密码吧。
分类:
其他好文 时间:
2014-12-25 18:45:08
阅读次数:
119
讲解了在Android开发中logcat使用不当导致的安全问题 原帖地址:http://drops.wooyun.org/tips/3812 0x00 科普 development versi...
分类:
移动开发 时间:
2014-12-24 13:20:53
阅读次数:
374
Android四大组件之一--Activity安全详解。 原帖地址:http://drops.wooyun.org/tips/3936 0x00 科普 Android每一个Applicatio...
分类:
移动开发 时间:
2014-12-24 13:15:52
阅读次数:
238
四大组件之一—content provider安全详解 原帖地址:http://drops.wooyun.org/tips/4314 0x00 科普 内容提供器用来存放和获取数据并使这些数据可...
分类:
移动开发 时间:
2014-12-24 13:11:02
阅读次数:
321
原文地址:http://drops.wooyun.org/tips/4393 0x00 科普 Broadcast Recevier 广播接收器是一个专注于接收广播通知信息,并做出对应处理的组件。很多广播是源自于系统代码的──比如,通知时区改变、电池电量低、拍摄了一张照片或者用户改变了语言选项。应用程...
分类:
移动开发 时间:
2014-12-23 15:10:16
阅读次数:
207
easyFuzzer使用案例分享 1、简介: easyFuzzer是wooyun的一位白帽子(光刃)提供的一款用于fuzz文件的工具。平时主要是和网络协议安全打交道,和本地软件安全打交道比较少,所以没怎么关注这款软件,但是今天发现YS的PC客户端多了一个视频编辑的功能,而且还做成了单独的编辑器,在对...
分类:
其他好文 时间:
2014-12-18 20:26:29
阅读次数:
196
转自 http://zone.wooyun.org/content/17356 园长一:执行系统命令:无回显执行系统命令:请求:http://192.168.16.240:8080/Shell/cmd2.jsp?i=ls执行之后不会有任何回显,用来反弹个shell很方便。有回显带密码验证的:").....
分类:
Web程序 时间:
2014-12-18 15:06:04
阅读次数:
430
XSS在客户端执行 可以任意执行js代码 0x01 xss 的利用方式1. 钓鱼 案例:http://www.wooyun.org/bugs/wooyun-2014-076685 我是如何通过一个 XSS 探测搜狐内网扫描内网并且蠕动到前台的2.钓鱼,伪造操作界面钓鱼直接跳转document.l.....
分类:
其他好文 时间:
2014-12-16 13:24:05
阅读次数:
271
MS14-068 privilege escalation PoC: 可以让任何域内用户提升为域管理员http://zone.wooyun.org/content/17102https://www.t00ls.net/thread-28706-1-1.htmlhttps://github.com/b...
分类:
其他好文 时间:
2014-12-11 22:22:52
阅读次数:
225
今年8月份Map在wooyun上发了个Zabbix某前台SQL注射漏洞,11月份才公开。漏洞详情大约是这样的:在zabbix前端存在一个SQL注射漏洞,由于zabbix前台可以在zabbix的server和client进行命令执行,所以这会导致很严重的后果。在 /chart_bar.php 的163...
分类:
数据库 时间:
2014-11-19 23:41:40
阅读次数:
347
