-
wordpress插件StatPressCN存XSS跨站获取用户cookie
statpresscn是流行的wordpress站点统计插件的中文版,虽然已经很久未更新,而且wp官网统计也仅仅不到10万次下载;但因为这个插件被某国内wp托管服务商(对方宣称拥有数百万用户)作为内置插件被默认启用,所以危害还是有些大的。 在统计页面中,可以详细记录站点的每次访问。其中流量来源展示时,提供一个表格输出来源网站,而statpress的中文版未进行字符串过滤直接输出。...阅读全文阅读全文
-
黑客轻松破解iOS7 银行账号可被泄露
北京时间10月4日消息,据《路透社》报道,德国安全研究公司表示,又发现了苹果iOS 7操作系统上一个安全漏洞,该漏洞能让黑客轻松破解手机保护系统,并远程控制该手机。 德国柏林的安全研究实验室(Security Research Labs,简称“SRL”)周四表示,苹果最新发布的iOS 7操作系统,可能有黑客已经完全破解了安全系统,可以远程掌控iPhone,并可以让黑客自由登入用户的电子邮件,或...阅读全文
-
网站注入大全关键字
inurl:asp?id= inurl:Article_Print.asp? EnCompHonorBig.asp?id=随便加个数字 showproduct.asp?id=随便加个数字 inurl:ManageLogin.asp EnCompHonorBig.asp?id= 随便加个数字 inurl: (asp?=数字) inurl: (php?=数字) inurl:Article_Print.asp? site 指定网站 inurl:Article_Print.asp? NewsInfo.asp?id= ShowNew.asp?Id= ShowNews.asp?Id= Show.asp?Id= Google dorks sql ...阅读全文
-
织梦dedecms变量覆盖漏洞的利用方法
最近的那个dedecms变量覆盖漏洞,最后可以控制全局变量,但不能完全控制 $GLOBALS[$v1] .= $v2; 注意这里是递加的,是在已初始化的全局变量内容上再递加内容。 现在已公开的漏洞利用方法是控制cfg_dbprefix全局变量里的数据库表前缀,然后再用ExecuteNoneQuery2点进行SQL注 入。不过这个点只能update,要直接GET WEBSHELL,需要mytag表中已经有记录,再update normbody字段...阅读全文
-
iPhone又曝新安全漏洞
外电称,虽然新款iPhone手机可以帮助用户通过远程方式删除被盗或遗失手机里的数据,但一家德国安全技术公司发现,这款手机的一个软件漏洞使黑客得以克服这一安全设置。 据路透社10月3日报道,位于柏林的安全研究实验公司(SRL)当天表示,该漏洞有可能使犯罪分子掌握充足的时间入侵苹果手机、完全控制手机数据、查阅电子邮件账户,甚至可能接管受害人的银行账户。SRL公...阅读全文