简介:Oblog是一套经过完善设计的多用户博客建站程序.在国内非常流行。最近Oblog4.6又爆出了漏洞.存在问题的文件是attachment.asp.其提交的变量path对于任何文件都不加限制地提供给用户下载,从而导致安全问题。利用该漏洞时.首先要下载的关键文件就是数据库连接文件conn.asp,提交如下URL:http://xxx.com/attachment.asp?path=,/conn.asp就可以下载conn.asp了.然后根据不同数据库类型获取WebShell即可。
简介:大家对猫扑网一定很熟悉吧?该网的注册会员早已超过千万,这样的网站出现了XSS.打击面可想而知。在大多数讲述XSS漏洞的文章中.一般都是演示使其跳出一个对话框,让很多人误以为这就是XSS漏洞,实际上这离真正的漏洞还差得很远。本文就将展现这些漏洞在猫扑网的具体应用。
利用Oblog4.6漏洞入侵
利用XSS在猫扑网 盗Cookie挂马
