php安全

admin 11年前 (2014-04-11) 3859浏览 0评论

一、起因 脚本之家某分站命令执行漏洞(http://wooyun.org/bugs/wooyun-2010-050747)公布了，但是网站漏洞没有补，命令执行仍存在：http://tools.jb51.net/mingfang/index.php?q...

admin 11年前 (2014-04-04) 1590浏览 0评论

$_PG=array_merge($_GET,$_POST); 该 处采用array_merge函数合并$_GET,$_POST二个数组，如果$_GET,$_POST键名有重复，那么$_PG中该键的键值 为$_POST中键名对应的值，如$_GET[...

admin 11年前 (2014-04-02) 1377浏览 0评论

这段时间在写php脚本，接触到web前端以及web安全问题比较多，这时给大家简单地谈一下我们网站验证码的验证过程及其安全问题。 从三个方面去谈一下关于验证码的使用：验证码的生成，验证的过程，验证中注意的安全问题。 验证码的生成，首先还是要说说验证码的...

admin 11年前 (2014-03-27) 1581浏览 0评论

php.ini中找safe_mode php安全模式：safe_mode=on|off 启用safe_mode指令将对在共享环境中使用PHP时可能有危险的语言特性有所限制。on启用，off禁用。它会比较执行脚本UID（用户ID）和脚本尝试访问的文件的...

admin 11年前 (2014-03-26) 2727浏览 0评论

好几年前，我在抱怨Apache运行PHP的安全性不行，只要一个 站点被人拿下，服务器上的其他站点就会跟着遭殃。当时觉得这跟IIS相比，实在太差了，因为在IIS里，可以在安全性里设置一个站点甚至一个目录访问时使 用的匿名账号，只要各个站点使用的账号不一...

admin 11年前 (2014-03-14) 2573浏览 0评论

今天在大疯子的博客看到说phpweb的上传漏洞还需要gpc=off才行，不由纳闷了，无论是iis6/iis7/apache/nginx哪一个的解析漏洞，文件名再畸形好像都不会涉及到gpc的吧？ 文章地址：http://fuck.0day5.com/?...

admin 11年前 (2014-03-05) 1881浏览 0评论

I was reminded by a recent article of an obscure and dangerous property of PHP’s preg_replace() function which can lead...

admin 11年前 (2014-01-14) 1484浏览 0评论

作者：江湖大虾仁 分类：PHP 标签：php, 加密 评论：没有评论 php是目前最流行的web编程语言，没有之一。但由于php是解释执行的，源代码即程序，为了商业化（亦或是其他一些目的）加密是必不可少的。本系列将对国内常见/常用的一些php加密手段...

admin 11年前 (2014-01-08) 1805浏览 0评论

在 UCenter 架构下，UCenter 和各个应用之间是依靠各自的配置文件为基础进行通讯的，所以保证站点稳定正常运行，配置文件的正确性尤为重要。下面说一下 UCenter 配置文件和应用配置文件中与 UCenter 通讯相关的参数。 一、配置 U...

admin 11年前 (2014-01-04) 2006浏览 0评论

EMail: jianxin#80sec.com Site: http://www.80sec.com Date: 2011-12-20 From: http://www.80sec.com/ [ 目录 ] 一 背景及描述 二 什么是云 三 什么是...

admin 11年前 (2014-01-04) 1817浏览 0评论

ps:这篇文章将以前内网漫游有关的漏洞称为了SSRF，上升到了理论的高度，很赞。 ssrf攻击概述 很多web应用都提供了从其他的服务器上 获取数据的功能。使用用户指定的URL，web应用可以获取图片，下载文件，读取文件内容等。这个功能如果被恶意使用...

admin 11年前 (2014-01-04) 2965浏览 2评论

发起这个帖子，估计就很多人看到题目就表示不屑了。一直以来PHP+MySQL环境下，无论是写程序或者是注入攻击，是无法多语句执行的，这么广为人知的常识，没理由会有人不知道。 可权威就是用来被挑战的，常识也就是为了被打破的。如果没有一点创新性，追根到底的...

admin 11年前 (2014-01-03) 6137浏览 0评论

一、漏洞背景 国际知名的漏洞攻击代码发布机构 exploit-db发布了一个针对apache+php的攻击代码，作者为著名国际黑客Kingcope。详见 http://www.exploit-db.com/exploits/29290/。实际上这个漏...

admin 12年前 (2013-11-04) 4446浏览 0评论

参考文章： 1、《浏览器urlencode策略差异导致XSS风险》（需翻墙）—–余弦 2、《浏览器差异带来的XSS风险1》http://evilcos.me/?p=24 本文分两部分介绍不同浏览器urlencode的差异：对特...

admin 12年前 (2013-10-14) 3329浏览 0评论

不好意思，我姜敏感信息隐藏了。。。 我也是偶然发现这个网站，然后习惯性的用WVS进行扫描（习惯性一边扫描，一边进行手工猜解），一杯茶时间后，我看着扫描报告，突然乐了，完全是天助我也，连webshell都不要拿了，哈哈。看扫描截图： 居然扫描出了PH...

admin 12年前 (2013-10-05) 4164浏览 0评论

常见 Webshell 的检测方法及检测绕过思路 from:http://hi.baidu.com/monyer/item/a218dbadf2afc7a828ce9d63 之前发的一篇，转过来。 Webshell的因素 我们从一个最简单的websh...

admin 12年前 (2013-09-29) 1496浏览 0评论

大家都知道PHP已经是当前最流行的Web应用编程语言了。但是也与其他脚本语言一样，PHP也有几个很危险的安全漏洞。所以在这篇教学文章中，我们将大致看看几个实用的技巧来让你避免一些常见的PHP安全问题。 技巧1：使用合适的错误报告 一般在开发过程中，...

admin 12年前 (2013-09-25) 2170浏览 0评论

Cross Site Request Forgery or CSRF is one of top 10 OWASP vulnerabilities. It exploits the website’s trust on the browser. Th...

admin 12年前 (2013-09-22) 1823浏览 0评论

这里对PHP的代码审计和漏洞挖掘的思路做一下总结，都是个人观点，有不对的地方请多多指出。 PHP的漏洞有很大一部分是来自于程序员本身的经验不足，当然和服务器的配置有关，但那属于系统安全范畴了，我不太懂，今天我想主要谈谈关于PHP代码审计和漏洞挖掘的一...

admin 12年前 (2013-09-22) 1713浏览 0评论

由于本人最近正在深入学习PHP的各种奇葩属性，碰巧在乌云上看到了一篇讲解php无字母数字编程的教程，然而文章是因为，而小编我的英文着实让人捉急，于是拜托我的小伙伴翻译供大家查阅。 PHP非字母数字编程     我的第一份关于PHP非字母数字代码的工作...