百度空间部分表单查询

最新推荐文章于 2025-12-17 15:06:21 发布
原创 最新推荐文章于 2025-12-17 15:06:21 发布 · 3.2k 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#web安全 #网络安全 #安全 #hack #wooyun

2010年的百度PDC存在漏洞,用户uid信息能被查询,且厂商未及时修复。漏洞公开后,查询权限问题成焦点。

漏洞详情

披露状态:

2010-07-26: 细节已通知厂商并且等待厂商处理中
2010-08-01: 厂商已经主动忽略漏洞,细节向公众公开

简要描述:

uid信息反馈,不算漏洞。针对用户可以查询很用户的信息

详细说明:

open url :
http://pdc.baidu.com/uinfo/?callback=requestImstate&type=json&uids=25481a89e4bdef294e4aeab9&randin=1923658608&detaillen=256&t=
requestImstate({ "25481a89e4bdef294e4aeab9":{ enusername:"%BF%C9%B0%AE%CD%C3%CC%C6%F6%A9%D3%F1",
username: "可爱兔唐雯玉",
iconurl:"a7abbfc9b0aecdc3ccc6f6a9d3f1820b", //对应头像地址
sex: "2",
age: "11",
constellation: "双子座",
reside: "广西,桂林",
birthsite: "广西,桂林",
online: "0",
imonline: "0",
space_online: "0",
imuser: "1",
tag_space: "1",
space_url: "可爱兔唐雯玉", //空间链接地址 hi.baidu.com/可爱兔唐雯玉
detail: "往往"
百度想高接口技术?

漏洞证明:

http://www.google.com.hk/search?q=site:pdc.baidu.com&hl=zh-CN&newwindow=1&safe=strict&ei=939NTPfEL4nOvQPUhIS7Cg&start=160&sa=N

修复方案:

查询权限限制?

版权声明:转载请注明来源 路人甲@乌云

Sword-heart
关注
百度地图JavaScript API开发GIS服务
m0_53156691的博客
03-12 7954
百度地图JavaScript API是由JavaScript语言编写的应用程序接口,支持HTTP和HTTPS,免费对外开放。在使用前,需先申请密钥(ak)才可使用。主要分为两种类型的版本:①JavaScript API GL(使用了WebGL对地图、覆盖物等进行渲染,支持3D视角展示地图);②JavaScript API(最新的为v3.0,主要支持2D平面地图,接口使用无次数限制)。
易语言登陆百度空间
07-19
百度空间百度公司提供的一项个人网络服务,用户可以在其中创建自己的博客、分享日志、照片等。 首先,让我们了解易语言中的几个关键概念: 1. **登陆百度空间**:在编程中,实现登录功能通常涉及向服务器发送...
通过浏览器中F12来查看form表单的提交
热门推荐
qq_41024101的博客
02-24 2万+
挺实用的一个定位bug技巧 这里用谷歌浏览器(Chrome)来举一个例子 1.打开F12,打开百度 选中www.baidu.com ,再选Headers,就可以看到 (1)General: Request URL:请求的URL连接 Request Method: 使用的是Get请求的方法 Status Code: 状态码,200一般是指成功 Remote Address: 远程地址 Referrer Policy:一般指服务端请求来源 (2)Response Header..
表单排版_表单的对齐方式
weixin_29722783的博客
01-01 1537
| 什么是表单百度百科的解释是表单在网页中主要负责数据采集功能。用通俗易懂的话来说,就是我们看到的页面需要填写较多相关信息的页面,都叫做表单,如下图。| 表单的内容从设计的范围上来看,包含了两个方面:1.表单域:包含了文本框、密码框、隐藏域、多行文本框、复选框、单选框、下拉选择框和文件上传框等。2.表单按钮:包括提交按钮、复位按钮和一般按钮;| 表单的对齐方式今天来说说表单的对齐方式,一般情况下...
HTML——表单详解
wshwsh_的博客
07-14 2万+
HTML——表单的详细解析
【JEECG技术文档】Jeecg高级查询
JEECG官方博客
02-07 5455
1. 背景    对于用户来讲查询功能按易用性分三个层次:    1)最简单查询操作是一个输入框,全文检索,如百度后台实现技术使用搜索引擎,需要设计和建立索引,技术较为复杂,适用于文档和信息数据库检索,但是结果很难精确控制。    2)其次是定义字段查询,很多企业信息系统大多用的是这种查询,针对模块特定字段的查询,有针对性、使用门坎低,适用于企业内部信息管理系统模块定制。    3)最后一种是专
2018 秋招 百度一面
潇风寒月
09-18 2147
百度一面 面试地点很豪华,星级酒店包了很多层楼。先集体到5楼等待,再单独分配到不同的楼层不同的房间去面试。每个面试官单独在一个房间,很安静,可以专心思考问题。面试官说话超级和气,交流很随心,不用半点约束。总的来说,整个面试还算顺利吧,也很荣幸,来面试的实在太多太多了,期望能过一面吧。(PS:后面真的过了….) 1.HTTP和HTTPS区别  超文本传输协议HTTP协议被用于在Web浏览器和网站服
HTML表单
qq_67413159的博客
03-15 2938
HTML表单的使用 无论是百度的搜索框还是网易邮箱的注册,或是学习强国的答题,这些页面都有一个共同的特点,需要用户输入或是选择数据。这些通过和用户交互来实现的功能,需要表单元素来实现。
刚刚爆火的百度秒哒试用感受
每天进步一点点儿
03-26 1201
百度“秒哒”是百度基于其文心大模型推出的生成式应用开发平台,旨在通过自然语言交互和智能体协作,降低应用开发门槛,让非程序员用户也能快速构建复杂应用。
百度页面实例
2403_86264751的博客
09-23 1500
本篇目标是做如下一个百度网页。
百度空间备份脚本baidublogbak.vbs代码分析
09-06
百度空间备份脚本baidublogbak.vbs代码解析》 百度空间备份脚本baidublogbak.vbs主要用于备份百度空间中的博客内容。它通过自动化的方式,将指定用户的博客文章从第I页到第n页进行下载,并保存为MHT格式的文件。...
17_表单-模拟百度一下.html
10-09
在这份内容中,我们将深入探讨如何模拟创建一个类似百度搜索的表单界面,这个过程不仅包含了前端设计的基本元素,还涵盖了用户体验和交互逻辑的构建。 首先,我们需要了解表单的基本概念。表单(Form)是HTML中的...
delphi post 百度空间登陆
10-16
描述中提到的“2012年10月26号测试,利用POST登陆百度空间及修改贴子”表明这个程序或代码片段在特定时间已经过测试,可以成功执行登录以及编辑或发布百度空间帖子的操作。HTTP POST方法是Web应用中提交数据到服务器...
渗透测试行业术语扫盲(第六篇)—— Web安全专用类术语
qq_39241682的博客
12-09 894
Web是渗透测试的主战场。要在此作战,不仅要懂攻击漏洞(如上一篇所述),更要理解支撑Web运行的基础身份机制、浏览器安全规则以及攻防双方使用的具体工具与载荷。本篇将深入Web安全的“皮下组织”,从维持登录状态的Cookie,到攻击者留下的Webshell,再到防御者的CSP策略,为你揭示这个战场的完整规则与装备图景。
网络安全-文件上传漏洞
m0_56970656的博客
12-09 302
文件上传漏洞是攻击者通过文件上传点上传恶意文件,如木马、脚本等,最终一般会通过shell管理工具(如蚁剑、哥斯拉等)连接从而控制系统的漏洞、
Web安全】SSRF
qinjilll的博客
12-12 967
SSRF漏洞分析与防御 SSRF(服务器端请求伪造)是一种由服务端发起恶意请求的安全漏洞,允许攻击者访问与服务器相连的内网系统。漏洞成因主要是服务端未对目标地址进行过滤限制,常见于社交分享、在线翻译、图片加载等功能点。 漏洞利用方式包括: 探测内网存活主机和开放端口 利用file协议读取本地敏感文件 访问内网未授权服务(如Redis、MySQL) 结合其他漏洞实现命令执行 防御措施: 白名单限制:仅允许访问可信域名/IP和协议 输入校验:过滤特殊字符,校验IP归属 内网服务加固:禁用未授权访问,设置强密码
Windows系统映像劫持:网络安全中的“李代桃僵”战术
Bruce_xiaowei的博客
12-12 844
摘要(149字): Windows系统映像劫持(IFEO)是一项被滥用的调试功能,攻击者通过修改注册表Image File Execution Options项,将合法程序启动重定向到恶意软件。这种"李代桃僵"手法常用于绕过安全软件、维持权限和隐蔽执行。检测可使用Autoruns工具或检查注册表异常项,防御需限制注册表权限、部署应用白名单。该技术虽具合法调试用途,但需注意使用边界。了解此类攻击原理对构建有效防御至关重要,普通用户应保持系统更新并警惕程序异常行为。
【要闻周报】网络安全与数据合规 12-13
专注于制造仓库、生产线边仓、物流仓储等人工拆零拣选辅助系统以及前沿技术。
12-13 621
十部门联合发布《关于推动物流数据开放互联有效降低全社会物流成本的实施方案》、网信部门从严整治利用AI仿冒公众人物开展直播营销问题乱象、工信部通报39款App(SDK)存在侵害用户权益行为、某科技公司因未及时修复安全漏洞被网警依法处罚、北京拟将自贸区数据出境负面清单推广应用到北京全市、欧盟:EDPS发布《AI风险管理指南》、中国香港:PCPD完成对两间教育机构个人资料系统的视察
汽车嵌入式系统网络安全风险缓解方案:AI驱动入侵检测与安全通信协议
最新发布
NewCarRen的博客
12-17 560
本文探讨了汽车数字化进程中嵌入式系统面临的网络安全挑战及应对策略。随着车辆互联化和自动化程度提高,传统安全框架难以应对日益复杂的网络威胁。研究提出了一种分层防御模型,结合人工智能驱动的入侵检测系统(IDS)与轻量级安全通信协议。实验表明,混合CNN-LSTM模型在CAN总线和V2X通信中可实现95%以上的异常检测准确率,同时优化加密方案将处理延迟控制在毫秒级。该框架既满足ISO/SAE21434等法规要求,又适应嵌入式系统的资源限制。研究还分析了实际部署面临的技术、监管和经济障碍,并展望了后量子密码学、联邦
易语言百度空间发帖留言工具v3源码解析与应用
百度空间百度提供的一项社交网络服务,允许用户创建个人网页,发布日志、图片等内容,并与他人进行互动。用户可以通过百度空间建立个人的网络形象,进行信息交流。 3. **发帖留言工具**: 该工具指的是一个能够...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值