x-frame-options漏洞,此漏洞是防止外部网页iframe此网站 nginx 解决方法在server中加入 add_header X-Frame-Options SAMEORIGIN 三个选项分别是: DENY:浏览器拒绝当前页面加载任何Frame页面 SAMEORIGIN:frame页面 ...
分类:
Web程序 时间:
2017-07-14 00:45:28
阅读次数:
183
在 index.php中先判断get过来的module是否设置了变量,如果已经设置,则包含module,并与字符串.inc拼接 inc格式一般是图标或者头像格式,因此我们可以初步判断,这个包含应该是基于图像上传 那么我们就应该搜索上传相关的函数 $_FILES 这里我们看到,图像上传的功能,上传图片 ...
分类:
其他好文 时间:
2017-05-24 12:33:29
阅读次数:
1034
网站常见功能,例如:上传头像 LOW 上传成功phpinfo.php可访问执行 http://192.168.3.88/dvwa/hackable/uploads/phpinfo.php 漏洞利用:以PHP为例,可上传一句话webshell cmd.php <?php @eval($_GET['cm ...
分类:
Web程序 时间:
2017-05-21 13:49:35
阅读次数:
205
2017 RedHat Web writeup1、thinkseeker2、PHPMyWIND3、后台 2017 RedHat Web writeup 1、thinkseeker 这题考两个点 1、用with rollup过前面两个if 2、用盲注找到flag 关于第一点在实验吧有原题:http:/... ...
分类:
Web程序 时间:
2017-05-08 00:19:45
阅读次数:
191
别人利用此PHP函数可以对系统进行相关操作 1、打开php.ini找到 ; http://php.net/disable-functions 2、修改添加内容如下 disable_functions =phpinfo,exec,system,passthru,popen,pclose,shell_e ...
分类:
Web程序 时间:
2017-02-12 10:51:03
阅读次数:
185
漏洞名称:ecshop代码注入漏洞 补丁编号:10017531 补丁文件:/mobile/admin/edit_languages.php 补丁来源:云盾自研 更新时间:2017-01-05 08:41:29 漏洞描述:ecshop后台模版编译导致黑客可插入任意恶意代码。 ...
分类:
Web程序 时间:
2017-01-20 19:05:03
阅读次数:
232
CSRF(Cross Site Request Forgeries),意为跨网站请求伪造,也有写为XSRF。攻击者伪造目标用户的HTTP请求,然后此请求发送到有CSRF漏洞的网站,网站执行此请 求后,引发跨站请求伪造攻击。攻击者利用隐蔽的HTTP连接,让目标用户在不注意的情况下单击这个链接,由于是用 ...
分类:
Web程序 时间:
2016-10-12 19:49:07
阅读次数:
531
针对PHP的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本攻击(Cross Site Scripting, XSS) 5、SQL注入攻击(SQ ...
分类:
Web程序 时间:
2016-09-22 17:00:41
阅读次数:
253
http://os.51cto.com/art/201204/328766.htm 针对PHP的网站主要存在下面几种攻击方式: 1、命令注入(Command Injection) 2、eval注入(Eval Injection) 3、客户端脚本攻击(Script Insertion) 4、跨网站脚本 ...
分类:
Web程序 时间:
2016-09-20 22:34:39
阅读次数:
235
Php环境部署完成后,通常我们会进行一些安全设置。除了熟悉各种PHP漏洞外,还可以通过配置php.ini来加固PHP的运行环境。PHP官方也曾经多次修改php.ini的默认设置。 接下来,推荐php.ini中一些安全相关参数的配置。register_globals当register_globals ...
分类:
Web程序 时间:
2016-07-19 18:17:03
阅读次数:
198
