chinaren校友录xss漏洞

最新推荐文章于 2024-10-07 15:14:21 发布
最新推荐文章于 2024-10-07 15:14:21 发布
阅读量3.1k 收藏
点赞数
文章标签: web安全 网络安全 安全 hack wooyun
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/jd_cx/article/details/124188694
版权
这篇博客详细介绍了2010年7月27日发现的Chinaren校友录的一个XSS漏洞,该漏洞主要影响Internet Explorer 6浏览器。漏洞在班级留言功能中被发现,允许插入恶意代码。经过一系列的公开阶段,最终于2010年8月26日向公众公开。修复方案未在文中提供。博客作者xti9er@乌云呼吁转载请注明来源。
摘要由CSDN通过智能技术生成

漏洞详情

披露状态:

2010-07-27: 细节已通知厂商并且等待厂商处理中
1970-01-01: 厂商已经确认,细节仅向厂商公开
1970-01-11: 细节向核心白帽子及相关领域专家公开
1970-01-21: 细节向普通白帽子公开
1970-01-31: 细节向实习白帽子公开
2010-08-26: 细节向公众公开

简要描述:

chinaren校友录xss漏洞

详细说明:

在班级留言中,可插入图片,此处存在xss漏洞,不过仅影响IE6

漏洞证明:

<img src="javascript:alert(/xxxs/)">

修复方案:

版权声明:转载请注明来源 xti9er@乌云

Sword-heart
关注
chinaren校友录的永久xss漏洞
swordheart的博客
04-17 4750
漏洞详情 披露状态: 2010-07-27: 细节已通知厂商并且等待厂商处理中 1970-01-01: 厂商已经确认,细节仅向厂商公开 1970-01-11: 细节向核心白帽子及相关领域专家公开 1970-01-21: 细节向普通白帽子公开 1970-01-31: 细节向实习白帽子公开 2010-08-27: 细节向公众公开 简要描述: chinaren校友录的永久xss漏洞 详细说明: chinaren校友录签名档、工作单位没有对xss做完整过滤, 签名档: anyunix</texta
Chinaren校友录
cuili5839的博客
07-07 5212
Chinaren校友录链接:http://alumni.chinaren.com/class/class_index.jsp?classuuid=2917034545012452392 ...
还有多少人记得ChinaRen校友录,它已经502…
热门推荐
运维派
08-24 4万+
如今访问这个网站,它已经显示502 Bad Gateway,令人唏嘘不已……对于80后这一代,曾经可以通过ChinaRen还能找到当年的小学、中学同学,不知道这里有多少小...
新版ChinaRen同学录
congzhan1377的博客
03-05 9194
毕业几年,同学间的联系渐渐少了,同学录上的留言也渐渐的可以在一页上显示到半年前的了。虽然天天挂在网上,也许一两个月都难得进去看一次了。ChinaRen的同学录也追逐web2.0的脚步,改头换面了。有几个小改动,尤其是“同学动态”...
校友录php源代码,月光软件站 - 编程文档 - 软件工程 - 抓取chinaren.com校友录留言的PHP小程序...
weixin_34441588的博客
03-11 604
提取留言.head { color: red; font-weight: bold; }body { font-size: 9pt; background-color: #cccccc; }set_time_limit(600);function getMessage($url,$history=false){$match_msg= "/do.*\('[^\n]*/";$match_date...
Chinaren校友录所用的左边弹出式菜单
weixin_30614109的博客
08-06 316
代码如下: <html> <head> <title>Chinaren校友录所用的左边弹出式菜单</title> <meta http-equiv="Content-Type" content="text/html; charset=gb2312"> <style> .cla2 {font-size: 12px;li...
自动登录Chinaren校友录脚本
小徐的专栏
03-07 3470
以下为我写的自动登录Chinaren校友录的脚本:============================On Error Resume Nextset Wshell=WScript.createobject("WScript.shell")while(true)            On Error Resume Next            set ie=WScript.createo
中国人校友录
cnracht8153的博客
06-27 4404
中国人校友录链接:http://www.chinaren.com ...
搜狐微博正文富文本xss漏洞
swordheart的博客
04-12 773
漏洞详情 披露状态: 2010-07-16: 细节已通知厂商并且等待厂商处理中 2010-08-18: 细节向公众公开 简要描述: 搜狐微博正文存在xss漏洞,虽然有做限制,但是可以bypass. 详细说明: 搜狐微博对图片地址进行了限定,要是http://xxxxx/xxx.png这个格式,如果字符串的起始于结尾都不符合,就会清空,比如javascript伪协议,双引号等. 测试发现如果字符串url中间含有特殊字符,程序的处理就会发生奇妙的变化,哦也. 比如url中的目录会被当成属性,空格处的
模仿chinaren超级校友录 -ASP源码.zip
01-22
"模仿chinaren超级校友录 -ASP源码.zip"是一个包含ASP源代码的压缩包,用于创建类似Chinaren超级校友录的网站平台。ASP(Active Server Pages)是微软开发的一种服务器端脚本语言,用于构建动态网页应用。通过学习和...
ChinaRen校友录助手
03-16
但必须是改用户已经在ChianRen校友录上有了班级信息. (2)支持多个班级的管理,班级个数不受限制. (3)支持多个用户的管理,用户之间互不影响. (4)自动下载班级留言,班级地址,成员信息,可以下载好友信息,可以将 ...
模仿chinaren超级校友录.rar
08-30
【标题】"模仿chinaren超级校友录.rar"是一款基于ASP技术构建的在线交友及会员管理系统,旨在模拟知名网站chinaren的校友录功能。这个压缩包包含了一整套用于创建类似平台的源代码,可能包括了数据库连接、用户注册...
模仿chinaren超级校友录.zip
10-05
【标题】:“模仿chinaren超级校友录” 这个项目标题表明,这是一个尝试复制或类似 Chinaren 超级校友录的功能的软件开发项目。Chinaren 是一个著名的中国社交网络平台,特别以其校友录服务闻名,它允许用户创建和...
网络安全 网络安全的主要领域 安全威胁 防护技术 安全策略 未来趋势
weixin_42462436的博客
10-03 1468
随着智能手机和平板电脑的广泛使用,移动设备的安全(如数据加密、设备丢失保护等)也成为重点。由国家级或高级黑客组织发起的持续性、高度隐蔽的网络攻击,通常以窃取敏感信息为目的。使用加密、访问控制、数据备份等手段来保护信息免受未经授权的访问、修改或删除。包括防火墙、入侵检测系统(IDS)、入侵防御系统(IPS)等技术的使用。保证操作系统和相关服务的安全,包括权限控制、补丁管理、系统日志监控等。利用全球收集的安全信息和分析工具,提前识别并防御潜在的威胁。关注对虚拟化平台、API安全、数据隔离和访问管理的控制。
网络安全】Cookie与ID未强绑定导致账户接管
等风来
10-02 325
DigiLocker 是一项在线服务,旨在为公民提供一个安全的数字平台,用于存储和访问重要的文档,如 Aadhaar 卡、PAN 卡和成绩单等。DigiLocker 通过多因素身份验证(MFA)来保护用户账户安全,通常包括 6 位数的安全 PIN 和一次性密码(OTP)验证。
什么是网络安全
最新发布
m0_66268916的博客
10-07 180
全站防护是基于风险管理和WAAP理念打造的安全方案,以“体系化主动安全” 取代安全产品的简单叠加,为各类Web、API业务等防御来自网络层和应用层的攻击,帮助企业全面提升Web安全水位和安全运营效率。网络安全是指通过采取必要措施,防范对网络的攻击、侵入、干扰、破坏和非法使用以及意外事故,使网络处于稳定可靠运行的状态,以及保障网络数据的完整性、保密性、可用性的能力。网络安全涉及多个层面,包括硬件、软件及其系统中数据的保护和确保网络系统的连续可靠运行,防止数据被破坏、更改、泄露。
Web安全 - 文件上传漏洞(File Upload Vulnerability)
小工匠
10-02 1789
文件上传漏洞是指Web应用允许用户上传文件,但没有对上传文件进行充分的验证和限制,导致攻击者可以上传恶意文件,如脚本、恶意代码等,进一步执行恶意操作。这种漏洞常见于文件管理、头像上传或文档管理等功能中。路径穿越结合文件上传:绕过文件上传目录限制,访问或执行敏感位置的文件。远程代码执行(RCE)结合文件上传:通过上传并执行恶意文件实现远程控制。跨站脚本(XSS)结合文件上传:通过文件传播恶意脚本,跨站点执行攻击。跨站请求伪造(CSRF)结合文件上传:在不知情的情况下诱使用户上传恶意文件。
从《GTA5》的反外挂斗争看网络安全的重要性
@云安全小杜
09-26 1123
本文将探讨《GTA5》在对抗外挂过程中遇到的挑战,特别是当游戏开发者试图增强游戏安全性时所遭受的DDoS攻击,并从中提炼出对于网络安全的一些启示。然而,随着游戏人气的增长,一些不法分子开始利用技术手段制作并销售外挂程序,这些程序可以让使用者在游戏中获得不公平的优势,从而破坏了游戏环境。请注意,以上内容是基于假设的情景编写的技术分析文章,实际案例可能涉及更多的细节和技术层面的问题。《GTA5》与外挂之间的斗争提醒我们,在享受数字世界带来的便利的同时,也需要时刻警惕潜在的安全风险,并积极采取措施加以防范。
梓潼中学同学录管理系统设计与实现
该系统借鉴了Chinaren校友录的功能,并根据班级同学的实际需求,提供了信息共享、短消息、留言、相册、通讯录、访问记录、学校和班级查询、投票、班级管理以及后台管理系统等功能。系统前端开发采用了Dreamweaver MX...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值