c-blog2.1测试手记朋友买了空间支持php但是没有mysql数据库,说是这空间商主要是支持asp脚本的.哎 难道就不能玩php了吗?  嘿嘿 可以用php+access的php程序啊.百度了下发现了c-blog这个程序,它有个php+access版本的.down下了看看,就有了这次测试的结果.1.暴出物理路径在看了这个blog后,发现他写的到上没什么太大的bug,文件比较少而且简结. 它的说明上看到了如下:./include   包含常用类库 编辑器 配置文件-->/configs/...

看过第六轮黑防实验室的两位大侠对Oblog3.0 Access版本的渗透过程，敬佩之情犹如滔滔江水连绵不绝，又如黄河之水一发而不可收拾，尤其是他们把社会工程学原理利用得淋漓尽致，以及巧妙的后台上传shell的方法。佩服，佩服。说了这么多废话，我们进入正题，本人在通读Oblog3.0代码的时候发现user_blogmanage.asp文件存在安全隐患，看看下面移动blog日志的操作代码： sub moveblog() if id="" then Oblog.adderrstr("请指定要移动的日志...

****基本漏洞测试*****YUZI的BBS3000被不少的国内个人站点和企业站点用来作为网友交流的论坛，但不少用户很少去探测这论坛的安全性，使用者很大程度上信任作者，而实际上这些免费的版本和汉化修改论坛，往往存在一些致命的漏洞，本文的目的在于揭示该论坛不为人知的漏洞，让大家更好的使用这类论坛，并且保证自身资料的隐蔽和服务器的安全。测试版本:bbs3000v4.11系统平台：win2kadvserver=sp3+iis5.0+ActivePerl5.6.1.626应用程序映射:perl.exe%s%s动作：GET,HEAD,POST或者:perlIS.dll动作：GET,HEAD...