通用漏洞并提交格式说明

最新推荐文章于 2024-12-18 16:22:24 发布

转载最新推荐文章于 2024-12-18 16:22:24 发布 · 286 阅读

0 ·

CC 4.0 BY-SA版权

原文链接：http://www.cnblogs.com/gcczhongduan/p/4749050.html

本文详细介绍了ASPX+MSSql的SQL注入漏洞，包括漏洞类型、涉及文件、危害程度、参与方等信息，并提供了5个枚举案例。漏洞危害程度为高风险，影响范围广泛，建议及时采取措施防范。

1、站节目类型：ASPX+MSSql
2、漏洞类型：SQL注射
3、缺陷文件：Login.aspx
4、注塑参数：APPSecret=
5.它涉及的版本号：完整版
7、危害程度：高风险
8、参与：xxx(xxx)官方网站|上海xx信息技术有限公司
9、厂商站点：http://www.ecsxxxxx.cn
10、安装量：很大
11、是否拥有源码分析：暂无
12、keyword：inurl:NewsIndex.aspx?

pkId=
13、是否默认配置：是
14、枚举案例【应乌云的要求，枚举5例】：

【声明：下面提供的所有案例一方面证明通用型。一方面是给CNVD或Cncert測试，其它人不得用此作非法用途或者破坏操作。否则后果自负】<br />
http://www.***.net/Login.aspx?APPSecret=
http://www.***zx.com/Login.aspx?APPSecret=
http://www.***x.com/Login.aspx?APPSecret=
http://www.t***t.com/Login.aspx?APPSecret=
http://www.p***.net/Login.aspx?APPSecret=
.....等等

转载于:https://www.cnblogs.com/gcczhongduan/p/4749050.html

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

weixin_30411819

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

【漏洞挖掘】——121、Xpath注入深入刨析

Fly_鹏程万里

06-28

331

XPath即为XML路径语言，是W3C XSLT标准的主要元素，它是一种用来确定XML(标准通用标记语言的子集)文档中某部分位置的语言。

漏洞报告模板.docx

06-06

当你给客户写渗透测试报告，或者向漏洞平台提交漏洞时你需要写一份报告

参与评论您还未登录，请先登录后发表或查看评论

漏洞盒子自动提交111.zip

11-13

漏洞盒子自动提交全自动提交

优化后的漏洞盒子自动提交脚本3.0

hackzkaq的博客

06-08

718

会有这个版本的原因全靠老猫，他把自己的提交脚本给我借鉴之后我改出了3.0版本(老猫yyds), 2.0版本：漏洞盒子自动提交脚本2.03.0版本 VS 2.0版本:代码全部重构,2.0有200多行代码，而3.0只有100多行3.0提交漏洞的速度比2.0快了最少4倍使用更方便(如果要提交WEB漏洞下其他类型漏洞无需修改脚本即可提交)先看看压缩包内的文件都有啥用其实还有一个文件它叫submitted.txt是用来记录提交失败的网站的，并且会记录提交失败的原因使用它我们只需要了解两个文件即可,bugs.xl...

通用漏洞提交格式说明

王骕的专栏

03-15

6847

1、建站程序类型：ASPX+MSSql 2、漏洞类型：SQL注入 3、缺陷文件：Login.aspx 4、注入参数：APPSecret= 5.涉及版本：全版本 7、危害程度：高危 8、涉及厂商：xxx(xxx)官方网站|上海xx信息技术有限公司 9、厂商网站：http://www.ecsxxxxx.cn 10、安装量：非常大 11、是否拥有源代码分析：暂无 12、关键字：inu

零基础如何学习挖漏洞？看这篇就够了【网络安全】

kali_Ma的博客

05-03

2294

有不少阅读过我文章的伙伴都知道，我从事网络安全行业已经好几年，积累了丰富的经验和技能。在这段时间里，我参与了多个实际项目的规划和实施，成功防范了各种网络攻击和漏洞利用，提高了安全防护水平。也有很多小伙伴私信问我怎么学？怎么挖漏洞？怎么渗透？

Struts 2 全版本漏洞检测工具 18.09 过waf版

02-09

5、作者对不同的struts2漏洞测试语句做了大量修改，执行命令、上传功能已经能通用。 6、支持HTTPS。 7、支持GET、POST、UPLOAD三种请求方法，您可以自由选择。（UPLOAD为Multi-Part方式提交） 8、部分漏洞测试支持...

常见漏洞原理简介

最新发布

2401_84578953的博客

12-18

1900

内容概要：包括内网、操作系统、协议、渗透测试、安服、漏洞、注入、XSS、CSRF、SSRF、文件上传、文件下载、文件包含、XXE、逻辑漏洞、工具、SQLmap、NMAP、BP、MSF…对于从来没有接触过网络安全的同学，我们帮你准备了详细的学习成长路线图&学习规划。网上虽然也有很多的学习资源，但基本上都残缺不全的，这是我自己录的网安视频教程，上面路线图的每一个知识点，我都有配套的视频讲解。这些题目都是大家在面试深信服、奇安信、腾讯或者其它大厂面试时经常遇到的，如果大家有好的题目或者好的见解欢迎分享。

CNVD漏洞审核类型尺度参考标准

网安日记本的博客

12-27

3740

CNVD漏洞审核类型尺度参考标准，转发自CNVD官方交流群

个人报CNVD和CNNVD披露漏洞教程

m0_59598029的博客

09-12

5416

随着越来越多关注漏洞披露对于企业和应用所带来的影响，通过国内平台披露漏洞也越来越受到关注。不同平台上披露漏洞的流程有所不同，刚好借此机会进行总结。

cnvd批量提交以及漏洞盒子

qq_54030686的博客

10-28

1949

cnvd批量提交 1.使用超级鹰验证码实现登录 2.完成下拉菜单的选择及文件的上传 3.连接fofa实现批量验证并且提交自己的cnvd账号 4.已完成全部代码编写，将上传到github 5.用户需要输入自己的fofa，超级鹰，cnvd相应账号和密码，并且将自己想要搜索的fofa内容输入，想要获取不同的漏洞，用户需要根据自己的需求更改相应位置的内容 6.目前作用为使用fofa搜索，对符合相应弱口令的网址进行检测并且提交cnvd ...

漏洞挖掘 | Edusrc我的首个中危漏洞（捡漏洞）

2301_80115097的博客

07-19

494

拿到这个站点，当然首先得来一波测试：爆破，sql万能密码，忘记密码逻辑漏洞等等。这篇文章给各位分享一下我的第一个中危险漏洞-一场酣畅淋漓的捡洞，先上图。所有渗透都需获取授权，违者后果自行承担，与本号及作者无关，请谨记守法。可以看到，这份文件文件中一共是泄露了三个试用账号：学生、教师、教务。申明：本账号所分享内容仅用于网络安全技术讨论，切勿用于违法途径，OK，看到这个就不用多说了吧嘿嘿，中危漏洞到手~可惜的是，无果，那就老老实实拿试用账号登录吧。1月份，捡到的第一个中危漏洞。哦吼，直接尝试登录相关系统。

漏洞命名规则及其正则表达式判断

ExcaliburZY的博客

03-28

2478

参考：漏洞都是怎么编号的CVE/CAN/BUGTRAQ/CNCVE/CNVD/CNNVD - phlsheji - 博客园 (cnblogs.com) 有一个已经被淘汰了，还有一个我查了没找到。就这样吧，反正 CVE 最常用。 1.CVE开头 CVE - CVE (mitre.org) 编号格式：CVE-XXXX-XX...X（CVE-年份-编号，年份必须大于1999，编号至少是4位数）以下同理。正则判断：^CVE-(2\d{3}|1999)-\d{4,}$ 2.CAN开头 CAN 和 CVE 的唯一差别

CNVD漏洞和证书挖掘经验总结

网安日记本的博客

10-20

6607

CNVD漏洞和证书挖掘经验总结

记录小白第一次EDUsrc：任意密码漏洞

2301_80115097的博客

11-22

1841

这里只测了四位数，还是在验证没失效，其实从000000-999999 爆过去肯定就能过了【或者找个验证码字典，不过我觉得它肯定是纯数字】这里肯定是有逻辑漏洞危害的，因为密码找回我就爆破成功了。只要logincode带着一个验证码md5加密，后面所有的登陆接口所有操作都可以无视验证码了—>这里的验证码功能等于没有，而且也没有ip访问限制，撞库就得死。环境搭建、HTML，PHP，MySQL基础学习，信息收集，SQL注入,XSS，CSRF，暴力破解等等。2.【后面测试的找回密码第一个接口是验证手机号和学号！

VisualSVN-Server 2.7.5升级解决漏洞并优化性能

CVE（Common Vulnerabilities and Exposures）是一个公共漏洞和暴露的数据库，其目的是为了提供通用的漏洞标识符，以便更容易地跟踪和识别已知漏洞。这些漏洞的修复对于提高VisualSVN Server的安全性能至关重要，...