站长QQ&&&&&&& 交流群①&&&&&&&&交流群②
&免责声明：本文仅代表作者个人观点，与本站无关。其原创性以及文中陈述文字和内容未经本站证实，对本文以及其中全部或者部分内容、文字的真实性、完整性、及时性本站不作任何保证或承诺，请读者仅作参考，并请自行核实相关内容。
&-&&-&&-&&-&赛奇网络某处逻辑漏洞导致数站管理员用户密码泄漏（包括域名注册万网,阿里云,Cnss,DZ沦陷,个人博客,PHP站,全权告急）
赛奇网络某处逻辑漏洞导致数站管理员用户密码泄漏（包括域名注册万网,阿里云,Cnss,DZ沦陷,个人博客,PHP站,全权告急）
编辑日期： 字体：
是关于赛奇网络的
http://0so.so
登录地址：http://saiqi.0so.so/denglu/login.aspx
直接访问:http://saiqi.0so.so/denglu/index.aspx?username=%E6%9D%8E%E9%82%B5%E5%90%8C&userpass=123456&userid=1
可以发现用户名是李邵同
密码是123456
登陆后,可以用户名,这些用户名其实密码都是123456
=============================================
重要的是,打开账号管理中心
可以看到很多地址
你其实可以看到了,你懂的,密码全在这里
包括网站后台的地址,用户名及管理员密码,全部泄露
=-==================================
随便打开1个尝试
/wp-admin/
用户名such
密码saiqi123
有的用户名,还有在万网,CNZZ注册时的密码,这时候也在里面,直接暴露
地址太多了
危害比较大
直接万网登陆成功了因为万网和阿里云是合作商,所以你懂的
可以管理服务器
太多了,如果一一就太多了,
http://bbs.91w.cc
usersmallno
管理员密码
还可以看其他用户的
密码全123456
看看桑雪微的
// wei1020..0
========================================
再看看 .cn/
wei1020..0
我就不一一测试了，太多
切换每个用户，直接退出，输入用户名+123456即可
=========================================
本文固定链接:
转载请注明:
作者：TarahPemberton
这个作者貌似有点懒，什么都没有留下。
，，，，，，，
您可能还会对这些文章感兴趣！全球网站现重大安全漏洞：可致银行密码泄露
来源：大河网
[提要]程序员Sean Cassidy爆出一个漏洞，这个漏洞让特定版本的OpenSSL成为无需钥匙即可开启的废锁，入侵者每次可以翻检户主的64K信息，只要有足够的耐心和时间，他可以翻检足够多的数据，拼凑出户主的银行密码、私信等敏感数据；假如户主不幸是一个开商店的或开银行的，那么在他这里买东西、存钱的用户，其个人最敏感的数据也可能被入侵者获取。
　　昨晚（4月8日）是黑客和白帽们的不眠之夜。他们有的在狂欢，逐个进入戒备森严的网站，耐心地收集泄漏数据，拼凑出用户的明文密码；有的在艰苦升级系统，统计漏洞信息，还要准备说服客户的说辞，让他们意识到问题的严重性；当然还有淼叔这样看热闹不嫌事大的，拼命恶补安全常识、寻找专家采访，试图记录这历史性的一夜。
　　这一夜，互联网门户洞开。
　　基础安全协议“心脏出血”
　　北京知道创宇公司的余弦守在电脑屏幕前彻夜未眠。作为一家高速发展的安全企业研究部总监，余弦在国内黑客圈资历颇深。他向淼叔介绍了这次事件的起源。该漏洞是由安全公司Codenomicon和谷歌安全工程师发现的，并提交给相关管理机构，随后官方很快发布了漏洞的修复方案。4月7号，程序员Sean Cassidy则在自己的博客上详细描述了这个漏洞的机制。
　　他披露，OpenSSL的源代码中存在一个漏洞，可以让攻击者获得服务器上64K内存中的数据内容。这部分数据中，可能存有安全证书、用户名与密码、聊天工具的消息、电子邮件以及重要的商业文档等数据。
　　OpenSSL是目前互联网上应用最广泛的安全传输方法（基于SSL即安全套接层协议）。可以近似地说，它是互联网上销量最大的门锁。而Sean爆出的这个漏洞，则让特定版本的OpenSSL成为无需钥匙即可开启的废锁；入侵者每次可以翻检户主的64K信息，只要有足够的耐心和时间，他可以翻检足够多的数据，拼凑出户主的银行密码、私信等敏感数据；假如户主不幸是一个开商店的或开银行的，那么在他这里买东西、存钱的用户，其个人最敏感的数据也可能被入侵者获取。
　　一位安全行业人士在知乎上透露，他在某著名电商网站上用这个漏洞尝试读取数据，在读取200次后，获得了40多个用户名、7个密码，用这些密码，他成功地登录了该网站。
　　发现者们给这个漏洞起了个形象的名字：heartbleed，心脏出血。这一夜，互联网的安全核心，开始滴血。
　　中国有至少三万台机器“带病”
　　一些安全研究者认为，这个漏洞影响可能没有那么大，因为受漏洞影响的OpenSSL 1.01系列版本，在互联网上部署并不广泛。
　　国内老资格的安全工作者、安天实验室首席架构师江海客不认同这种说法。他在微博上预警：“这一次，狼真的来了”。
　　余弦则以对问题进行了精确的定量分析。4月8日的不眠之夜中，他除了在Twitter和各大论坛中实时跟踪事态的最新进展，更重要的精力放在了ZoomEye系统的扫描上。根据该系统扫描，中国全境有1601250台机器使用443端口，其中有33303个受本次OpenSSL漏洞影响！443端口仅仅是OpenSSL的一个常用端口，用以进行加密网页访问；其他还有邮件、即时通讯等服务所使用的端口，因时间关系，尚未来得及扫描。
　　ZoomEye是一套安全分析系统，其工作原理类似Google，会持续抓取全球互联网中的各种服务器，并记录服务器的硬件配置、软件环境等各类指标，生成指纹，定期对比，以此确定该服务器是否存在漏洞或被入侵。在此次“心脏出血”漏洞检测中，余弦给该系统后面加上一个“体检”系统，过滤出使用问题OPenSSL的服务器，即可得出存在安全隐患的服务器规模。
　　从该系统“体检”结果看，比三万台问题服务器更令人惊心的，是这些服务器的分布：它们有的在银行网银系统中，有的被部署在第三方支付里，有的在大型电商网站，还有的在邮箱、即时通讯系统中。
　　自这个漏洞被爆出后，全球的骇客与安全专家们展开了竞赛。前者在不停地试探各类服务器，试图从漏洞中抓取到尽量多的用户敏感数据；后者则在争分夺秒地升级系统、弥补漏洞，实在来不及实施的则暂时关闭某些服务。余弦说，这是目前最危险的地方：骇客们已经纷纷出动，一些公司的负责人却还在睡觉。而如果骇客入侵了服务器，受损的远不止公司一个个体，还包括存放于公司数据库的大量用户敏感资料。更为麻烦的是，这个漏洞实际上出现于2012年，至今两年多，谁也不知道是否已经 有骇客利用漏洞获取了用户资料；而且由于该漏洞即使被入侵也不会在服务器日志中留下痕迹，所以目前还没有办法确认哪些服务器被入侵，也就没法定位损失、确认泄漏信息，从而通知用户进行补救。
　　问题的应对与新的问题
　　目前，ZoomEye仍在持续不断地给全球服务器”体检“，这个过程需要20小时左右。相比之下，仅仅给国内服务器体检需要的时间短得多，仅仅需要22分钟；而给那三万多台”带病“服务器重复体检，则只需两分钟。目前，余弦已经将这份名单提交给CNCERT/CC（国家互联网应急中心），由后者进行全国预警。但是，除了移动、联通等这些大型企业外，CNCERT也没有强制力确保其他公司看到预警内容，最后可能还是需要媒体持续曝光一些“带病”服务器，以此倒逼相关公司重视该漏洞。
　　而在漏洞修补期间，普通消费者与公司均应该采取相关措施规避风险。对于普通用户来说，余弦建议在确认有关网站安全之前，不要使用网银、电子支付和电商购物等功能，以避免用户密码被钻了漏洞的骇客捕获。“一位银行朋友告诉我，他们补上这个漏洞需要两天时间。这两天大家最好就别登录网银了，确认安全后再登。如果已经登录过了，那就考虑换一下密码吧。”
　　与用户的消极避险不同，相关互联网企业则应该尽快进行主动升级。升级到最新的OpenSSL版本，可以消除掉这一漏洞，这是目前企业最便捷的做法。但在升级后，理论上还应该通知用户更换安全证书（因为漏洞的存在，证书的密钥可能已泄漏），并通知用户尽可能地修改密码。后面这两个措施，企业实施起来会面临很大的代价，也只能通过媒体尽量曝光，让意识到的用户重新下载证书并自行修改密码了。
　　由于“心脏出血”漏洞的广泛性和隐蔽性，未来几天可能还将会陆续有问题爆出。在互联网飞速发展的今天，一些协议级、基础设施级漏洞的出现，可能会打击人们使用互联网的信心，但客观上也使得问题及时暴露，在发生更大的损失前及时得到弥补。作为身处其中的个人，主动应变、加强自我保护，可能比把安全和未来全部托付出去要负责任一些。
【XP退役】
【黑客产业揭秘】
(责任编辑：UF030)
&&&&&&</div
搜狐财经致力遇汇集变革力量，评出“中国最具变革力人物&#8226;公司”[]
图解财经：
今日主角：
主演：黄晓明/陈乔恩/乔任梁/谢君豪/吕佳容/戚迹
主演：陈晓/陈妍希/张馨予/杨明娜/毛晓彤/孙耀琦
主演：陈键锋/李依晓/张迪/郑亦桐/张明明/何彦霓
主演：尚格?云顿/乔?弗拉尼甘/Bianca Bree
主演：艾斯?库珀/ 查宁?塔图姆/ 乔纳?希尔
baby14岁写真曝光
李冰冰向成龙撒娇争宠
李湘遭闺蜜曝光旧爱
美女模特教老板走秀
曝搬砖男神奇葩择偶观
柳岩被迫成赚钱工具
大屁小P虐心恋
匆匆那年大结局
乔杉遭粉丝骚扰
男闺蜜的尴尬初夜
社区热帖推荐
揭秘网红生活真相……[]
客服热线：86-10-
客服邮箱：推荐到广播
614300 人聚集在这个小组
(cottonlips)
(goodgoodstudy)
(御宅壁花)
大家正在求推荐
&·&·&·&·&·&·
(112人参加)
(222人参加)
(52人参加)
(84人参加)
(57人参加)
(57人参加)
(147人参加)
(93人参加)
第三方登录：“饿了么”就无资质外卖给出回应：承认有漏洞
[提要]近日，记者报道了“饿了么”和“大众点评网”外卖，涉嫌将黑外卖洗白的新闻。一些没有营业执照和餐饮许可证的黑饭店，堂而皇之的出现在了外卖网站上，记者实地探访，发现饭店的藏身民房，做饭的...
　　&饿了么&网站公关部经理承认确实有漏洞（视频截图）
按照现行法律规定，电商平台的商家审批和实体店的餐饮审批手续是一样的。（视频截图）
　　4月29日讯&近日，记者报道了&饿了么&和&大众点评网&外卖，涉嫌将黑外卖洗白的新闻。一些没有营业执照和餐饮许可证的黑饭店，堂而皇之的出现在了外卖网站上，记者实地探访，发现饭店的藏身民房，做饭的地方油污遍地，卫生堪忧。今天两家网站分别给出了回复。　　根据饿了么官方网站上的显示，饿了么是中国知名的在线外卖订餐平台，已覆盖我国数百个城市，数千万用户，聚集了数十万家餐饮商户。记者在这家网站上下单，发现送来的食品上面并没有饭店的具体名称和地址。　　记者多番走访发现，送餐的饭店位于济南某高校的一处民房。经过调查，这家饭店根本没有任何的餐饮资质和营业执照。　　没有任何资质，按照饿了么官方的招商条件，是不可能通过网站审核的。而根据饿了么专门负责市场的张经理说，原则上需要营业执照和餐饮许可，但在实际操作过程中，他们在初期审核时非常宽松。　　报道后，记者在饿了么网站上搜索发现，节目曝光的黑外卖已经找不到了。对此，记者首先联系了负责市场维护的张经理。他表示不方便接听电话。
　　&饿了么&网站公关部经理承认确实有漏洞　　随后记者又联系了饿了么网站，一名自称公关部张经理的女子给出了如下答复：&承认有漏洞，对张经理处理。&
　　张经理介绍，所有加盟网站的商家，都必须具备实体饭店的资质，并通过网站备案、市场经理现场审核之后，才能开展业务推广。　　回顾整个事件 ，虽然仅仅是一粥一饭，简单的送餐服务，但部分无资质的黑外卖混杂其中，消费者根本无法分辨孰优孰劣。其实不难发现，为黑外卖提供生存温床的，是号称覆盖了中国数千万用户的饿了么网站，以及消费者认可的大众点评网。事件发生后，作为专业做消费评价的&大众点评网&，又是什么态度呢？　　网站为黑外卖助力 责任咋分？　　据大众点评网官方公布的信息，这家网站月活跃用户数超过2亿，点评数量超过7500万条，收录商户数量超过1400万家，是全球最早建立的独立第三方消费点评网站。如此一家影响力巨大的网站，怎么会推广无资质的黑外卖呢？　　然而事实上，记者也从这家网站上订到了被曝光的&黑外卖&。对此，记者向大众点评网进行了反映。一个在现实中没有取得任何资质的水饺店，在饿了么网站和大众点评网的联合推广下，每天的营业额超过千元，近百人次就餐食用。
　　大众点评的工作人员表示，&我们会查看，清理。&　　同时，记者也从济南市食品药品监督管理局了解到，按照现行法律规定，电商平台的商家审批和实体店的餐饮审批手续是一样的。　　孟主任表示：&按照已经审核通过的新《食品安全法》规定，&饿了么&和&大众点评网&作为网络食品交易第三方平台提供者，应当对入网食品经营者进行实名登记，明确其食品安全管理责任；依法应当取得许可证的，还应当审查其许可证。&　　无任何资质的黑外卖，却在网络营销的包装下堂而皇之的经营，保护消费者的饮食安全，除了媒体监督，我们的主管部门更要跟上时代的步伐，对于事件的进展，将在第一时间向广大网友公布。
&&&&想爆料？请登录《阳光连线》（ ）、拨打新闻热线0，或登录齐鲁网官方微博（）提供新闻线索。
[责任编辑：刘洋]
手机安装浏览更多山东资讯
无资质外卖
齐鲁网版权与免责声明
1、山东广播电视台下属21个广播电视频道的作品均已授权齐鲁网（以下简称本网）在互联网上发布和使用。未经本网所属公司许可，任何人不得非法使用山东省广播电视台下属频道作品以及本网自有版权作品。
2、本网转载其他媒体之稿件，以及由用户发表上传的作品，不代表本网赞同其观点和对其真实性负责。
3、如因作品版权和其它问题可联系本网，本网确认后将在24小时内移除相关争议内容。