POC:http://www.milw0rm.com/exploits/9247
有更新習慣的人不用太擔心~
2009年7月28日 星期二
WordPress 2.8.1 xss漏洞
官方版本已經更新到2.8.2
漏洞代码:
wordpress\wp-admin\includes\template.php
文件中的$author_url没有对单引号做过滤,最后又使用拼接href='$author_url'。
导致我们可以添加一个这个href的事件函数进去。
PHP代码
2085:$author_url = get_comment_author_url();
2182:case 'author':
echo ""; comment_author(); echo '
';
if ( !emptyempty($author_url) )
echo "$author_url_display
";
-------------------
http://wordpress.org
xss滲透測試
Author: jianxin [80sec]
EMail: jianxin#80sec.com
Site: http://www.80sec.com
Date: 2008-12-24
From: http://www.80sec.com/release/xss-how-to-root.txt[ 目录 ]
0×00 前言
0×01 xss渗透测试基本思路
0×02 一次黑盒的xss渗透测试
0×03 一次白盒的xss渗透测试
0×04 总结0×00 前言
2009年4月29日 星期三
安全漏洞!駭客散布「豬流感」垃圾郵件
from:http://tw.news.yahoo.com/article/url/d/a/090429/35/1in0n.html
根據資安網站SecurityFocus最近首度揭露Adobe Reader程式再度爆發含有安全漏洞的問題,其所影響的版本包括最新的Adobe Reader 9.1與Adobe Reader 8.1.4或者更早以前版本的Adobe reader;甚至包括Linux版本與Mac版本的Adobe Reader也同樣都有安全漏洞的風險存在。Yahoo!奇摩再推帳號保護 中華龍網對抗DDOS
from:http://tw.news.yahoo.com/article/url/d/a/090430/52/1invd.html
Yahoo!奇摩產品事業群整合服務部資深總監楊大偉指出,「Yahoo!奇摩安全憑證」主要是幫設定後的電腦,多了第二道帳號安全的防護,即使帳號密碼不慎被盜,在沒有設定Yahoo!奇摩安全憑證的電腦上使用時,都會被要求再次驗證用戶身份。2009年4月22日 星期三
Mozilla發布12個安全漏洞修補程式 請盡快更新Firefox至3.0.9版
使用者可以從「說明」裡去查看目前的Firefox版本,若非最新版,為了安全性請盡快更新,可以直接透過Firefox瀏覽器裡的「檢查更新」功能直接線上更新,也可以到Firefox官方網站下載最新3.0.9版安裝。訂閱: 文章 (Atom)