摘要:
xxe,也就是xml,外部实体注入攻击,漏洞是对非安全的外部实体数据进行处理时引发的安全问题,要了解xxe,就必须懂得xml的一些规则xml是用于标记电子文件使其具有结构性的标记语言,可以用来标记数据,定义数据类型,是一种允许用户对自己的标记语言进行定义的源语言xml文档结构:xml声明,DTD文档 阅读全文
posted @ 2019-11-19 19:06
bonga
阅读(214)
评论(0)
推荐(0)
摘要:
命令执行漏洞防御尽量不要使用系统执行命令在进入执行命令函数方法之前,变量一定要做好过滤,对敏感字符进行转义在使用动态函数之前,确保使用的函数是指定的函数之一对PHP语言来说,不能完全控制的危险函数最好不要使用 RCE远程代码执行的防御使用json保存数组,当读取时就不需要使用eval了对于必须使用e 阅读全文
posted @ 2019-11-14 21:29
bonga
阅读(305)
评论(0)
推荐(0)
该文被密码保护。 阅读全文
posted @ 2019-11-14 09:47
bonga
阅读(34)
评论(0)
推荐(0)
该文被密码保护。 阅读全文
posted @ 2019-11-13 20:53
bonga
阅读(11)
评论(0)
推荐(0)
摘要:
session文件的位置linux一般在/tmp/或在/var/lib/php5/ 等位置,windows下如果使用phpstudy,phpstudy\PHPTutorial\tmp\tmp下,新版本的在phpstudy_pro\Extensions\tmp\tmp phpmyadmin任意文件包含 阅读全文
posted @ 2019-11-13 17:23
bonga
阅读(415)
评论(0)
推荐(0)
该文被密码保护。 阅读全文
posted @ 2019-11-12 21:23
bonga
阅读(17)
评论(0)
推荐(0)
摘要:
文件上传(图片马)+文件包含getshell先上传一个图片马,需要知道其在服务器中的位置,然后去找一个存在文件包含的地方,将图片马包含起来尝试执行 如果服务器开启日志记录功能,包含日志文件可以getshell,,修改apache的配置文件,将“customlog logs/access.log” c 阅读全文
posted @ 2019-11-12 20:29
bonga
阅读(245)
评论(0)
推荐(0)
摘要:
linux下图片马制作命令:echo "<?php @eval($_POST['xxx']);?>" >> x.jpg 0x00截断绕过上传条件,php小于5.3.4,magic_quotes_gpc = Off .htaccess绕过上传<FilesMatch "cimer">SetHandler 阅读全文
posted @ 2019-11-12 08:35
bonga
阅读(166)
评论(0)
推荐(0)
该文被密码保护。 阅读全文
posted @ 2019-11-09 13:53
bonga
阅读(21)
评论(0)
推荐(0)
摘要:
中华人民共和国网络安全法http://www.xinhuanet.com/politics/2016-11/07/c_1119867015.htm黑产牛,万一你被抓了呢?所以你需要知道这些!https://www.t00ls.net/articles-53566.html搞黑产,算算你能判多少年?h 阅读全文
posted @ 2019-11-08 23:51
bonga
阅读(468)
评论(0)
推荐(0)
浙公网安备 33010602011771号