wooyun - 第 4 | CN-SEC 中文网

lcx

Discuz!多版本存储型 XSS 脚本漏洞 (0day)

第一个报告的地方是http://www.wooyun.org/bugs/wooyun-2010-02299 第二个我公布在本论坛(t00ls-bbs) 另外说一下t00ls本论坛也存在此漏洞，但是我用...

04月03日42 views评论

阅读全文

lcx

Magento eCommerce Platform XXE Injection利用

0x1 在wooyun-zone xsser的文章zend framework文件读取漏洞分析中有提及到magento，下面是其中的原文：据@蟋蟀哥哥在乌云上的漏洞报告提醒，一些开源软件因为使用了...

04月03日47 views评论

阅读全文

lcx

一邮箱跨站讨论

"extmail 领立斯" 传送门 http://www.wooyun.org/bugs/wooyun-2012-04854 最近在测试这个东东 1. 附件名称处 a:空格过滤执行不鸟 ...

04月03日64 views评论

阅读全文

Discuz xss利用演示( 劫持发帖,置顶帖子等)

貌似zone里面有个discuz 如何post 发帖的帖子 http://www.wooyun.org/bugs/wooyun-2010-015312 正好看到个dz xss案例就研究了下熟悉d...

04月03日lcx23 views评论

阅读全文

解析漏洞总结

一、IIS 5.x/6.0解析漏洞 IIS 6.0解析利用方法有两种 1.目录解析 /xx.asp/xx.jpg 2.文件解析 wooyun.asp;.jpg 第一种，在网站下建立文件夹的名字为 .a...

04月03日lcx56 views评论

阅读全文

lcx

邮箱伪造详解

0x00 背景邮箱伪造技术，可被用来做钓鱼攻击。即伪造管理员或者IT运维部等邮箱发邮件，获取信任使对方打开附带的木马文件或者回复想要获取的敏感资料等。 0x01 细节 SMTP协议中,允许发件人伪...

04月03日116 views评论

阅读全文

lcx

简单获取CDN背后网站的真实IP，CDN逆向，反向跟踪网站真实IP

简单获取CDN背后网站的真实IP fate0 | 2015-01-15 20:17 事先声明: 方法可能存在漏报(嗯, 在人品差的情况下) 唔, 我们使用 www.wooyun.org 作为案例。首...

04月02日62 views评论

阅读全文

JSON探针—定位目标网络虚拟信息身份，利用大量三方网站cookie进行追踪

JSON探针—定位目标网络虚拟信息身份 Jacks | 2014-11-06 00:03 11月啦，放点东西出来给wooyun的伙伴们分享下，其实这个技术已经很成熟啦.不过还是有不知道的童鞋吧。 B...

04月02日lcx35 views评论

阅读全文

lcx

DVWA-WooYun（乌云靶场）开源漏洞模拟项目测试版公布！

DVWA-WooYun（乌云靶场）开源漏洞模拟项目测试版公布！ lxj616 (简介) | 2014-08-11 11:35 DVWA-WooYun开源漏洞模拟项目测试版公布！ 0x00：前言 D...

04月02日216 views评论

阅读全文

讨论：论控制个人电脑的可行性

【很大的话题】论控制个人电脑的可行性李白 | 2014-08-11 11:21 #起源每个人都很向往电影里那些hacker在键盘上噼里啪啦打了一大堆（有的甚至不按回车）就进入到别人电脑里的这种技术...

04月02日lcx45 views评论

阅读全文

漏洞时代

PHPCMS后台CSRF加管理两种方法POC

之前多个漏洞，其实都是利用了Referer，如最新这个：http://wooyun.org/bugs/wooyun-2015-098434 其实我们可以不利用Referer，能更简...

01月01日448 views评论

阅读全文

漏洞时代

php云人才系统存储型跨站两处

WooYun-2014-73319( WooYun: php云人才系统存储型跨站多处 )曾经报道过这两处存储型跨站，虽然厂商修了，但是还是可以以奇葩的方式XSS跨站。

01月01日352 views评论

阅读全文

Discuz!多版本存储型 XSS 脚本漏洞 (0day)

Magento eCommerce Platform XXE Injection利用

一邮箱跨站讨论

Discuz xss利用演示( 劫持发帖,置顶帖子等)

解析漏洞总结

邮箱伪造详解

简单获取CDN背后网站的真实IP，CDN逆向，反向跟踪网站真实IP

JSON探针—定位目标网络虚拟信息身份，利用大量三方网站cookie进行追踪

DVWA-WooYun（乌云靶场）开源漏洞模拟项目测试版公布！

讨论：论控制个人电脑的可行性

PHPCMS后台CSRF加管理两种方法POC

php云人才系统存储型跨站两处

在线咨询

微信