0day.today - 规模最大的漏洞利用数据库和零日漏洞市场 - 世界上最流行最全面的计算机安全网站之一。 我们的数据库每天都被家庭用户，企业用户，学校用户，政府用户和军方用户等访问。 我们是一群致力于软件安全的信息安全专业人士。 为达到我们的目标我们在互联网上发布最新的安全建议。 0day.today 工作人员是都是安全领域的专业人士。 给用户提供了有关渗透测试，IDS特征库开发，漏洞利用研究方面的有价值信息 本项目也给漏洞利用开发者和安全专家提供了有关漏洞利用技术方面的资源 本站所提供的信息和工具仅可用于安全研究和测试目的 创建0day.today 项目的最初想法始于2008年5月13日 本项目致力于信息安全领域，涵盖了网络，软件和信息方面的攻击和防护技术。 0day.today 网站包含一个各种软件产品漏洞和漏洞利用信息的，经常更新的数据库。 漏洞利用数据按照性质分类比如：本地，远程，拒绝服务攻击等等。 同时提供按照平台的分类比如：BSD，Linux，QNX，OSX，Solaris，Unix，Windows等等。 最新的漏洞利用通常包含了如何使用最新发现的漏洞。 本项目意在方便各方及时接收，储存和交换安全信息。 本站的首要目标之一就是为安全爱好者提供一个统一的知识库，无论是编程语言，网络协议，或者网络安全资源，甚至硬件相关－都能在这里找到解答

1) 你可以通过我们建立起可信的个人档案。 2) 我们的团队可以协助你确认漏洞，提供咨询，帮助演示，或者进行安全测试。 3) 我们可以请求CVE/CWE-ID并以加密信道告知厂商。 4) 曾经发布过内容的会员（研究者／分析师）可以获得免费访问零日漏洞私有版面的权限。 5) 24x7 用户支持 （可通过：E-mail， Jabber， Facebook， Twitter 或Skype） 6) 0day.today 的用户角色系统使得高级研究人员有更高权限，从而可以访问漏洞细则和实验环境。 7) 活跃的研究者，可以有机会参加厂商活动或者私密安全集会。 8) 漏洞的发现者可以参与和厂商的洽谈。告知厂商，联系付款等流程，漏洞的发现者都可以参与。 9) 付款方式可靠，对售出的商业漏洞有奖励。

前往联系方式页面查找管理员邮件地址。

如果你已经是注册用户：登录后，使用页面顶端的支持链接。 如果你还没有注册：发送你的想法至[email protected].

如果你发现了错误，请通知管理员。我们会尽快修复问题。 你也许可以借此加入我们的团队。 我们愿意为你所发现的漏洞付款。

0day.today 的服务主要面向对希望获得信息安全知识的IT专业人士，比如网站管理者，系统管理员等。 每当新的安全威胁出现时，0day.today 会及时通知你。 我们的服务是完全免费注册而且方便使用的。 如果你在本项目注册，你有机会获得所有功能甚至秘密区域的访问权限 0day.today 将成为你在安全领域的好朋友和好帮手。 请牢记，本站发布的漏洞仅可以用于合法用途，比如培训或测试。0day.today 对其发布的信息不提供质量保证。

你需要点击这里注册成为会员。

如果你在列表里看到了你的漏洞利用或者你的昵称，你可以通过确认邮件激活你的账号。 如果你的邮件不在列表上，你需要先联系管理员。我们会给你提供密码。

跨站脚本(持久化)漏洞 跨站请求伪造 点击劫持和摄像头劫持 无限制或未授权的本地／远程文件包含 目录遍历攻击 认证绕过，过滤器绕过，错误管理绕过 SQL注入和盲注 输入校验漏洞（持久化／非持久化） 栈溢出／缓冲区溢出／堆溢出／整数溢出／Unicode溢出 本地／远程提权 格式化字符串攻击 内存错误 除零错误 指针漏洞（比如空指针，访问错误，读写错误） 本地／远程命令执行 本地／远程代码执行 拒绝服务攻击，导致服务或硬件不响应的漏洞 信息泄漏 加密算法或实现不够强壮 操作系统，或程序上错误的设置 程序结构上的错误和漏洞 内核错误 程序崩溃 如果发现了任何不属于以上分类的漏洞，或者如果你不确定漏洞的分类，你也可以提交漏洞。我们的团队会为你审核。

如果你已是注册用户 请登录或者注册。 登录后请点击位于页面上方的[ 添加漏洞利用 ]。 填写好表格后点击提交。 当本站管理员查验你的材料后就会发布此漏洞利用。如有问题我们会联系你。

---

如果你还没有注册：请阅读我们的规则，并发送你发现的漏洞利用至[email protected]。如果你不同意遵守我们的规则，我们则不会发布你的材料！

我们将不会接受，处理，或发布任何针对活跃网站的漏洞／漏洞利用。

为了能更快提交信息，请遵守如下守则：

1) 每封邮件只发送单一漏洞信息，请把漏洞利用的概要作为邮件的标题。 2) 请把你想提交的漏洞利用打包作为邮件附件发送，支持的文件格式有(.zip, .tgz, .gz, .rar, .c, .py, .txt, .pl, .html, 等)。 3) 请包含漏洞目标软件的链接。

请阅读如下有关提交漏洞的细则：

1) 我们不接受非持久化的跨站脚本漏洞。 2) 我们不接受不常用软件上的跨站脚本漏洞。 3) 我们不接受不包含数据和细节的漏洞。 4) 我们不接受不常用软件上的漏洞利用。 5) 我们不接受同一个漏洞利用以不同程序语言的实现

请输入尽可能多的漏洞信息，这样可以更快通过审核。 当你提交漏洞利用的时候，请包含如下主要信息：

# 漏洞利用标题：[标题] # 日期：[发现的日期] # 作者：[作者] # 厂商链接或者软件链接：[目标软件的下载链接] # 版本：[版本号] # 类别：[远程，本地，Web程序，拒绝服务，等等] # Google dork：[inurl: 和 intext: 等] # 测试平台：[操作系统平台] # 受影响的网站：[最少提供3个站点，越多越好，从而缩短审核过程] 发布成功的漏洞利用／漏洞信息，如这里所示：(15057).

在0day.today 发布漏洞信息有什么好处？

0day.today 给意图在Inj3t0r发布漏洞信息的用户提供了很多好处。 在Inj3ct0r，你可以免费发布你的漏洞材料，不需任何金币。 但是，读取隐藏材料需要使用金币，账户上没有金币的用户不能访问隐藏材料。 在你发布漏洞信息之前，你可以决定用户是否需要金币才能阅读漏洞信息（如果你选择付费阅读，则你会收到金币）。 0day.today 发布的每个漏洞都会经过管理员的审查。 但是如果发现你伪造了漏洞信息，管理员会封禁你的账户。 如果你的材料售出，只有你会收到金币。

Why you should publish exploits/vulnerabilities on 0day.today ?

1) 你可以通过我们建立起可信的个人档案。 2) 我们的团队可以协助你确认漏洞，提供咨询，帮助演示，或者进行安全测试。 3) 我们可以替你请求CVE/CWE-ID并以加密信道告知厂商，你可以选择匿名。 4) 曾经发布过内容的会员（研究者／分析师）可以获得免费访问零日漏洞私有版面的权限。 5) 24x7用户支持，可通过E-mail, Jabber, Facebook, Twitter以及Skype。 6) 0day.today 的用户角色系统使得高级研究人员有更高权限，从而可以访问漏洞细则和实验环境。 7) 活跃的研究者，可以有机会参加厂商活动或者私密安全集会。 8) 付款方式可靠，对售出的商业漏洞有奖励。

---

如果漏洞的描述清晰，所有提交条件都满足，我们就会开始审核漏洞。 一旦漏洞的状态被改为"已确认"，它会被指定一个ID，并和它的参考材料链接一起被发布到合适的分类版面中。

如果你没有阅读并遵守常见问题第10章：我如何发布漏洞利用？中的内容，我们则不会发布你提交的漏洞。 请输入尽可能多的漏洞信息，这样可以更快通过审核。 当你提交漏洞利用的时候，请包含如下主要信息： # 漏洞利用标题：[标题] # 日期：[发现的日期] # 作者：[作者] # 厂商链接或者软件链接：[目标软件的下载链接] # 版本：[版本号] # 类别：[远程，本地，Web程序，拒绝服务，等等] # Google dork: [inurl: 和 intext: 等] # 测试平台：[操作系统平台] # 受影响的网站： [最少提供3个站点，越多越好，从而缩短审核过程]或者屏幕截图 发布成功的漏洞利用／漏洞信息，如这里所示： (例如 http://0day.today/exploits/18906)

本站将封禁其账户，并不再接受用户提交的漏洞。

0day.today 金币 是0day.today 项目中的流通货币。它可以用来购买服务、购买漏洞利用、换取真实货币，等等 欲获得金币请阅读常见问题章节:

• 如何购买0day.today 金币?
• 如何获取0day.today 金币?

如何给账户充值？ 访问付款页面

为获取0day.today 金币，你可以

• 出售漏洞利用
• 帮忙破解哈希值
• 获得金币的其他新方法随后会公布。

如何购买私有漏洞？

• 每个材料都有其对应的金币数。金币数要求可能是免费或者需要金币
• 每项公开的漏洞信息都没有定价。 你可以点击描述页面的打开按钮查看。
• 每项私有的漏洞信息都有相应的价格。 你可以在描述页面的[ 价格 ]部分看到其售价。
  

购买漏洞利用的两种方式： 匿名购买

• 如果你不想成为本站注册用户，请点击匿名按钮并按照提示操作。
  

作为0day.today 的注册用户

• 登录后，查看余额按钮位于页面顶端。你的账户余额大于漏洞售价时你才可以购买。
  
• 点击购买按钮购买漏洞利用。
• 如果你的金额不足，你可以购买金币或者赚取金币

如何给账户充值？ 请前往付款页面

如何出售漏洞利用？

• 首先阅读并遵守常见问题第10章：我如何发布漏洞利用？
• 随后点击页面顶端的[ 添加漏洞利用 ]按钮，当你登录并提交表格后，我们就会开始审核你提交的内容。

如果你想把漏洞信息设置为私有，请务必填写以下三项：

• 价格 输入价格（最多1000，公开漏洞通常设置为0）
• 屏幕截图 选择图片（以证明你上传的材料有效，仅限jpg格式，最多3张）
• Youtube视频链接 输入youtube视频链接（仅限youtube.com）*

如果你输入的价格大于0，管理员会审核你的材料并批准一个合适的价格。 （如果管理员对你提出的价格有异议，我们会联系你讨论合适的价格）， 随后材料会被发布，就像下图所示： 金额不足的用户不能购买你发布的材料。 如果有用户购买你的材料，我们会转账至你的账户。当你账面的金币额大于 2000，你可以提现。你可以在本站购买其他材料。 如果你的漏洞信息已在互联网上被披露出来，我们会删除定价。至此你的漏洞利用则变为免费！ 如想提现，请联系我们的支持团队。你可以提现的金额是90%。 最少可以提现的金额是2000金币。

如何使我发布的漏洞信息更醒目？ [ 置顶 ] ?

• 如果你想在置顶类别里现实你发布的漏洞利用，在漏洞描述页面，点击靠近标题的 [ 置顶 ] 按钮。
• 点击此项后，你的漏洞利用会被复制到置顶类别中 置顶服务价值10个金币 10天后，你购买的置顶服务会自动失效。如果前面的空位都被填满，你购买的置顶服务也会失效。

如需支取本站金币，请联系我们的支持团队。 如果你收到90% 可以从本系统支取的最小额度是2000金币

渗透测试是我们的专长，我们谨慎的对待每次测试。如果你对Inj3ct0r团队在网络上的声誉有所了解，你就会认识到我们在渗透测试方面的造诣。一旦我们能够获取系统的访问权限，我们就能够充分证明整个组织所面临的安全风险。我们不仅致力于为你发现可能的安全漏洞，我们也期待能给予你面对安全风险的经验和信心。我们希望能和你的开发团队一起，今早发现，并及时，高效，廉价的解决安全问题。在评估过后，我们会和你一起分析你当前的状况。当面对恶意行为的时候，如何能够规避风险，发现风险，和从风险的影响中尽快恢复。 如果你希望进行渗透测试，请与我们联系洽谈。我们会提供：

• 参与规则，其中包含了你所期待达到的目标。
• 我们需要进行的工作，我们会保证知会你其中的每个步骤。
• 最终报告，报告会包括我们所发现的问题和具体的修正办法。
• 我们帮助你理解测试结果，并提供后续工作的意见和建议。

0day.today 慎重的对待每次渗透测试。 如果你准备好进行一次严谨的渗透测试，请遵循以下步骤：

• 检查你的账户余额 渗透测试的收费是多少？ 1) 渗透测试你的网站需要50金币。开始之前你需要把本站的图标放在网站的某个位置。 2) 如果你的目标是任意某个网站，你需要预付100金币。 如何给账户充值？请见 22) 如何购买? 我应该如何付费购买材料或者服务？
• 付费后请填写 这个表格 如何操作？ 1) 输入站点的URL，我们会检查这个URL。 2) 选择站点的所有者。 如果你是网站的所有者，请证明你对网站的所有权。你需要把我们的图标 放置在网站的某个位置以供我们查验。在我们确定你对网站的所有权之前，我们不会开始测试。
• 我们收到所有信息后就会开始测试。测试应该会在一周左右完成。

哈希值破解是0day.today 提供的一项用以破解哈希值的服务。哈希值破解服务给你提供了测试各种哈希算法稳定性的方法(SHA1, 32 bit MD5, MD4, mysql, 等等。 )。 如何的到破解的哈希值？如何添加哈希值供破解？ 你必须成为注册用户并且至少有5个金币。 你需要去往哈希值破解页面并且填好表格，提交供破解的新哈希值。 当另一个用户提交了哈希值对应的密码，管理员会校验密码 并通知你哈希值已经被成功破解. 如果另一个用户是一个骗子，他的账户会被锁定。 如果你看到这样一个按钮 [ 购买破解出的密码 ]，意味着哈希值对应的密码是100%正确的. 如何出售哈希值对应的密码？ 通过破解哈希值，用户可以获取金币 第一个破解出哈希值对应密码的的用户，会成为这个哈希值的拥有者。每次用户购买这个破解的密码时，哈希值的拥有者就会获得金币。