CSDN的Metaweblog API接口漏洞

最新推荐文章于 2024-02-04 19:52:38 发布
最新推荐文章于 2024-02-04 19:52:38 发布
阅读量1.1k 收藏
点赞数
文章标签: api
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xoitnet/article/details/3628642
版权

今天在试用Zoundry的时候,居然发现一个很奇怪的现象,当我链接到CSDN的博客上的时候,居然把文章发到了其他人的博客里,这是个很大的漏洞莫非,CSDN的XML-RPC安全性能做得不好!

其中的漏洞主要在Metaweblog API接口上,我使用不同的地址,使用我自己的登录名,都可以通过验证,发表日志!

实验过程:

1、安装Zoundry软件

2、设置博客账户,使用自己已有的登录名,使用http://blog.csdn.net/其他用户名/services/metablogapi.aspx作为weblog接口地址

3、验证通过,发表日志

这个功能不能获得以往日志,这个漏洞莫非适合来发广告~~

xoitnet
关注
7.2 discuz 拿shell_Discuz! 7.2及以下版本及各uc产品api接口Get webshell漏洞
weixin_39612220的博客
12-22 285
对于dz,我们比较关心的是拿shell,但dz的东西想拿shell太难太难了,上一篇文章的末尾铺垫了下,所以这篇文章也算不上马后炮了...这个漏洞已经在discuz! x1版本悄悄给补上了,但是7.2及以下含有uc接口的版本的均没有补。这个漏洞其实也是老漏洞,去年大家就已经知道了,是二次写配置文件的漏洞,就是年初《创始人通过后台ucenter拿shell漏洞》(http://www.oldjun....
基于Metaweblog API 接口一键发布到国内外主流博客平台
ranchunfeng的专栏
09-09 4371
之前的生活 之前一直使用evenote写博客和日志,其实还是挺方便的。但是我一直都希望能够同步到国内的博客和国外的blogspot等主流博客平台。而强大everote只提供了facebook、twitter和email的share方式,在实际使用过程中不是十分方便。 今天 今天的偶然机会在bing中搜搜时,偶然发现竟然还存在着Metaweblog神器的存在,幸好国内的cnblog
swagger-exp:Swagger API漏洞利用
03-25
Swagger API漏洞利用 这是一个Swagger REST API信息可用的工具。主要功能有: 遍历所有API接口,自动填充参数 尝试GET / POST所有接口,返回响应代码/ Content-Type / Content-Length,用于分析接口是否可以未授权访问利用 分析接口是否存在敏感参数,例如url参数,容易约会外网的SSRF细分 检测API认证绕过防御 在本地监听一个Web服务器,打开Swagger UI接口,供分析接口使用 使用Chrome打开本地Web服务器,并添加CORS,解决部分API接口无法跨域请求的问题 当工具检测到HTTP认证绕过突破时,本地服务器拦截API文档,修改路径,踩直接在Swagger UI中进行测试 扫描器改进建议 分析json文档,将发现的URL,自动添加到爬虫中 用法 需要介入分析api_summary.txt文件中的内容 扫描所有API
常见的API接口漏洞总结
summer_fish的专栏
05-01 4053
熟悉这些漏洞非常重要,这样您就可以轻松识别它们,在参与渗透测试期间利用它们,并将其报告给组织,以防止犯罪分子将您的客户拖入头条新闻。现在您已经熟悉了 Web 应用程序、API 及其弱点。
Web API 漏洞介绍(一)
最新发布
weixin_44217321的博客
02-04 1637
API漏洞是指API安全性中可能被恶意行为者利用的潜在弱点或漏洞。这些漏洞可能存在于API的任何部分,从设计阶段到部署阶段。它们可能会导致严重的后果,例如数据泄露、未授权访问,甚至系统崩溃。
API接口漏洞利用及防御
Z__7Gk的博客
07-27 1518
API(Application Programming Interface,应用程序编程接口)是不同软件系统之间进行数据交互和通信的一种方式。API接口漏洞指的是在API的设计、开发或实现过程中存在的安全漏洞,可能导致恶意攻击者利用这些漏洞来获取未授权的访问、篡改数据、拒绝服务等恶意行为。
利用Metaweblog技术的API接口同步到多个博客网站(详细)-附件资源
03-05
利用Metaweblog技术的API接口同步到多个博客网站(详细)-附件资源
通过metaWeblog Api发布Wordpress博客 实例代码
08-20
下载下来,修改run.php 把用户名密码,博客地址改成你自己的。直接执行php run.php即可发布一篇博客到你的博客中。
dotnetcore实现metaweblog代理
05-28
在IT行业中,开发人员经常需要与各种API接口交互,以便集成不同的系统和服务。"dotnetcore实现metaweblog代理"的主题就是关于如何利用.NET Core框架来构建一个Metaweblog API的代理服务,该服务可以对博客内容进行...
安全漏洞API接口
angaoux03775的博客
01-08 1071
  这个是avfisherapi写的API,经常用,每次找他的博客都搜到AV,尴尬。。在这里记下来。 0x01 查询最新安全事件和漏洞接口 接口URL: 乌云网:http://avfisherapi.sinaapp.com/wooyun/ Freebuf:http://avfisherapi.sinaapp.com/freebuf/ 安全牛:http://avfisher...
网络安全漏洞API接口安全(https,对称,非堆成,公钥,私钥)
codepython的专栏
08-18 741
一 URL转码问题 什么是URL 转码问题? 不管是以何种方式传递url时,如果要传递的url中包含特殊字符,如想要传递一个+,但是这个+会被url编码成空格,想要传递&,被url处理成分隔符。 尤其是当传递的url是经过Base64加密或者RSA加密后的,要进行传输时,存在特殊字符时,这里的特殊字符一旦被url处理,就不是原先你加密的结果了。 符号 url中的含义 编码 + URL 中+.
漏洞发现-API接口服务之漏洞探针类型利用修复
Rnan_prince的博客
08-01 1175
端口服务类安全测试 根据前期信息收集针对目标端口的服务类探针后,进行安全测试,主要的攻击方法有: 口令安全 WEB漏洞 版本漏洞等 其中产生的危害可大可小,属于端口服务/第三方服务类安全测试面。一般在已知应用无思路的情况下选用的安全测试方案。 工具 SNET工具 acunetix API接口 - Web Service RESTFul API 根据应用自身的功能方向决定,安全测试目标需要有API接口调用才能进行此类测试,主要涉及的安全问题:自身安全,WEB漏洞,版本漏洞等。其中产生的危..
(35.2)【接口漏洞专题】接口遍历、接口调用重放、接口参数篡改、接口未授权访问
04-15 3307
【专题】接口漏洞利用
(45.3)【API接口漏洞专题】API接口原理、请求方法、类型、安全校验方法
05-07 2436
【专题】API漏洞之基础
(45.6)【API接口漏洞API接口之RESTful测试工具postman、Restlet Client下载、使用
05-08 1588
API接口测试】RESTful测试工具
漏洞挖掘】攻击对外开放的Docker API接口
weixin_30359021的博客
01-22 357
https://medium.com/@riccardo.ancarani94/attacking-docker-exposed-api-3e01ffc3c124 1)场景 攻击开放在互联网的Docker API 2)问题难点 Docker API外放有什么危害? 3)解决问题的方法 理解客户API公开互联网的原理 信息收集和枚举 利用Docker CLI测试暴露的API 批量挖掘 ...
浅析MetaWeblog
06-08
MetaWeblog是一种基于XML-RPC协议的远程博客编辑器API。它允许用户通过使用支持MetaWeblog API的博客客户端软件来发布、更新和删除博客文章,以及获取博客文章列表等操作。MetaWeblog API可以与多种博客平台一起使用...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值