• 欢迎访问挑战自我博客网站,安全研究,web渗透,推荐使用最新版火狐浏览器和Chrome浏览器访问本网站,欢迎加入挑战自我博客网站 网站主页

标签:漏洞汇总

挖洞经验

[Marketo]对于输出缺乏验证导致html远程代码执行

[Marketo]对于输出缺乏验证导致html远程代码执行
1、漏洞简介hackerone提供了一个官方的联系页面,用于和官方的正常邮件沟通或者获取帮助等,这个漏洞是由于这个沟通系统对于输出缺乏过滤导致远程html代码执行2、漏洞详情hackerone的帮助或者说沟通页面如下图所示:这个页面提供了六个信息输入框,我们在FirstName、LastName、Company以及Message这四个输入框中分别输……继续阅读 »

挑战自我 12个月前 (10-06) 689浏览 0评论10个赞

TZ-SCAN

TZ-SCAN多功能WEB渗透测试工具发布

TZ-SCAN多功能WEB渗透测试工具发布
Github地址https://github.com/linxi0428/TZ-SCAN免责申明为避免 TZ-SCAN 被恶意利用,开源版本只放出了简单的探测规则,无法用作为黑客入侵工具。请使用者遵守《中华人民共和国网络安全法》,勿将 TZ-SCAN 用于未授权的测试,参与项目的社区成员/挑战自我博客作者不负任何连带法律责任。TZ-SCANTZ-S……继续阅读 »

挑战自我 1年前 (2017-09-23) 771浏览 0评论7个赞

挖洞经验

发送邮件过程中的html代码注入

发送邮件过程中的html代码注入
1、漏洞简介unikrn.com公司的邮件系统在发送邮件的过程中存在HTML注入漏洞,注入的位置在用户个人配置信息的first name字段2、漏洞详情当post访问如下页面时,由于缺乏对数据的过滤以及验证,用户可以将一些个人配置信息字段设置成不合法的数值,这可能导致在网站的一些抽奖区(raffle)的XSS漏洞,以及发送邮件时的HTML注入漏洞。……继续阅读 »

挑战自我 1年前 (2017-08-24) 671浏览 0评论12个赞

挖洞经验

php的Smarty服务端模板注入,允许远程执行命令

php的Smarty服务端模板注入,允许远程执行命令
1、漏洞简介我在Unikrn的服务器上发现了一个漏洞:可以允许我执行‘file_get_contents ’函数,并且读取/etc/passwd文件的内容。2、漏洞具体描述这个服务器看起来后台使用的是php的smarty模板,当在用户选项中的firstname, lastname或者nickname中输入一个恶意的payload,然后邀请一个用户来加入……继续阅读 »

挑战自我 1年前 (2017-08-22) 2395浏览 0评论16个赞

WEB

各行业常见漏洞类型汇总

各行业常见漏洞类型汇总
新兴信息技术的快速应用,为各类企业的发展提供了便利,但同时也让企业面临巨大的信息安全风险。近几年,企业信息安全事件数量相较以往大幅增长,并有继续快速增长的趋势。不同行业网站的漏洞也呈现不同的倾向和趋势。  ……继续阅读 »

挑战自我 1年前 (2017-08-10) 893浏览 0评论14个赞