继续分享xss tips的。 前几天php代码安全审查,也发现了相同的问题,在xss过滤上,很多人会陷入一个误区。 看我以往文章会发现,全局的实体编码是不安全的,因为实体编码不会处理\,强转url编码是相对安全的,经常写java,都知道,java在处理用户输入的特殊字符串,会用Escaper这个第三 ...
分类:
其他好文 时间:
2021-05-04 16:43:00
阅读次数:
0
1、查看源码得到网卡配置信息 2、输入本地地址,发现重复运行了index.php 3、ip爆破 4、端口爆破 5、用file协议读取文件 这里过滤了file://,可以使用file:/,file: ///,file:_///绕过,读取源码,过滤了 6、redis未授权访问gopher协议利用 过滤了 ...
分类:
Web程序 时间:
2021-05-04 15:28:31
阅读次数:
0
四种语句 PHP中有四个加载文件的语句:include、require、include_once、require_once。 基本语法 require:require函数一般放在PHP脚本的最前面,PHP执行前就会先读入require指定引入的文件,包含并尝试执行引入的脚本文件。require的工作 ...
分类:
Web程序 时间:
2021-05-04 15:20:36
阅读次数:
0
HTTP响应码 200 存在文件 403 存在文件及 3xx可能存在 404 不存在文件及文件夹 500 均可能存在 burpsuite抓取https 墨者学院网址 火狐浏览器,添加插件 hackbar2 php投票伪造 修改forward burpsuite 抓包——右键——send to int ...
分类:
Web程序 时间:
2021-05-03 13:00:58
阅读次数:
0
##sonarqube介绍 SonarQube®是一种自动代码审查工具,可检测代码中的错误,漏洞和代码味道。它可以与您现有的工作流程集成,以实现跨项目分支和提取请求的连续代码检查。 ###特征: 一个开源的代码质量管理系统 支持超过25种编程语言:Java、C/C++、C#、PHP、Flex、Gro ...
分类:
其他好文 时间:
2021-05-03 12:57:11
阅读次数:
0
我们的 PHP 在执行的时候,其实可以获取到非常多的当前系统相关的信息。就像很多开源的 CMS 一般会在安装的时候来检测一些环境信息一样,这些信息都是可以方便地动态获取的。 脚本文件运行时的系统用户相关信息 首先,我们来看看获取当前系统相关的一些用户信息。这个用户信息就是我们系统运行 php 脚本时 ...
分类:
Web程序 时间:
2021-05-03 12:38:54
阅读次数:
0
Low 命令注入Low级别的,我们先看一下源码 <?php if( isset( $_POST[ 'Submit' ] ) ) { // Get input $target = $_REQUEST[ 'ip' ]; // Determine OS and execute the ping comma ...
分类:
其他好文 时间:
2021-05-03 12:31:22
阅读次数:
0
laravel工作机制 1.用户User 作用:将请求匹配到某个特定路由 2.路由Route 1.作用: 路由映射到特定控制器,控制器处理请求,简化URL访问地址 2.分为GET路由和POST路由和任何HTTP请求路由 GET路由: Route::get('/',function(){ return ...
分类:
Web程序 时间:
2021-05-03 12:30:17
阅读次数:
0
使用 FastAdmin 的 epay 插件时,我们通过传不同的 method 决定支付方式。 method=mp 时表示公众号支付,此时必须要 openid,但是插件里并没有说明如何获取。 其实这个 openid 的获取,addons/epay/library/Service.php 中已经写好了 ...
分类:
微信 时间:
2021-05-03 12:17:32
阅读次数:
0
类内部函数调用内部的函数和变量要加$this->,外部访问类内值 类名-> class kk{function aa(){ echo "aa";}function bb(){ return $this->aa();} }$cc= new kk;$cc->bb(); ...
分类:
Web程序 时间:
2021-05-03 11:57:27
阅读次数:
0