-
淘宝网TaoBao.Com几处上传过滤不严及修复
对swf上传没有严格限制.导致可以向主域名内上传swf文件.swf上传的危害太大.这里不多做解释.另外.有几处fck.仍然可以上传伪装成png的swf.(不管扩展名是什么.只要加上flash标签,都可以执行flash脚本)http://ti...
-
新浪存在xss导致用户账号被劫持及修复
详细说明:新浪存在xss导致用户账号被劫持漏洞证明:http://iask.sina.com.cn/?k=<img%20onload=\"lazivip><img%20src=/%20onerror=javasc...
-
论坛漏洞分析之上传漏洞和暴库漏洞
软件安全论坛是Internet上的一种电子信息服务系统,它提供一块公共电子白板,每个注册用户都可以在上面“书写”,可发布信息或提出看法。目前论坛软件很少有人自己编写,而大都是采用在网上下载的源程序。常见的论坛源程序有...
-
新浪博客CSRF漏洞及修复
简要描述:某功能修改为get提交,可利用详细说明:博客的权限设置为GET提交,可在博文中插入链接图片,致使目标用户开放权限。漏洞证明:如http://control.blog.sina.com.cn/blogprofile/profilep...
-
腾讯QQ空间跳转
简要描述:直接复制地址是无法跳转的,但是在空间里面就可以任意跳转网站,色情的等等。详细说明:例如:http://open.qzone.qq.com/url_check?appid=99&url=http%3A%2F%2Fwww.ha...
