- ▪
K6dvd音乐网程序写马0day及修复
11-03-02
-
koohik
K6dvd 影视系统是国内不错的音乐发表管理系统!
随便找了个带参数的URL 提交了个’ 返回如下:
非法操作!系统做了如下记录↓操作IP:xxx.xxx.xxx.xx操作时间:2009-5-28 19:33:47操作页面:/yxplay.asp提交方式:GET提交
- ▪
苏州同程游手机用户验证码可获取及未验证修改邮箱
12-05-25
-
纯粹测试玩的,发现手机还没有验证,就填写手机验证,等了N久没有收到信息,心里邪恶了看代码,找JS问题,终于被我发现了一处问题,模拟发送验证码,验证抓包,哈哈,竟然验证码可以看到看图输入验证码,成功!很...
- ▪
苏州同程网几处漏洞及修复
12-07-27
-
苏州同程网好几处问题详细说明:反射型XSShttp://waptest.17u.cn/pub/weather/WeatherCity.aspx?FPY=D%3C/span%3E%3Cscript%3Ealert%28%27xss%27%29%3C/script%3E%3Cspan%3E&ModelName=Weather一处目录遍历用户更...
- ▪
通达OA2007版本漏洞及getshell
12-12-19
-
目前测试通达OA2007版本Office Anywhere 2007 网络智能办公系统http://www.2cto.com /pda/news/read.php?P=%cf' 猪点。 暴web目录..这个时候看了下代码,存在注入的那个变量的语句中第3个字段,在...
- ▪
逛(guang.com) 修改任意人收货地址及修复
13-01-18
-
http://guang.com/account/address通过hidden的id传递值,修改id值即可修改对应的信息这个1363xxx的用户的地址ID是1003这个10557xxx的用户的地址为1004,我们修改为1003,提交退出10557xxx此用户,重新登录13666...
- ▪
畅途网未授权修改其他人信息及盲打后台
13-01-19
-
未授权修改其他人信息http://www.trip8080.com/user/contactShowModify.jspx?memberId=8679储存XSShttp://www.trip8080.com/chezhan/chengdushi/chengdushi13994.html全站基本没有对xss过滤,大致看了一下,有几...