前言 问题发生在user.php的display函数,模版变量可控,导致注入,配合注入可达到远程代码执行 漏洞分析 0x01-SQL注入 先看user.php $back_act变量来源于HTTP_REFERER,我们可控。 assign函数用于在模版变量里赋值 再看display函数 读取user ...
分类:
其他好文 时间:
2018-09-02 18:53:24
阅读次数:
393
一:Nginx防盗链在nginx.conf中的server部分中添加如下代码location~^.+.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)${valid_referersnoneblockedserver_names.taobao.com.baidu.com.google.com.google.cn.soso.com;/
分类:
Web程序 时间:
2018-08-16 19:59:13
阅读次数:
262
nginx防盗链防盗链的意义在于防止网站中的文件链接在其他网站中被使用,盗链的文件或图片在其他网站中加载,在这个过程中,实质上加载的请求是被盗链服务器上响应的,这就造成了一些不正常流量(并非自己网站的正常打开页面加载的处理请求)造成了消耗不必要的带宽要实现防盗链,需要了解HTTP协议中的请求头部的Referer头域和采用URL的格式表示访问当前网页或者文件的源地址。通过该头域的值,我们可以检测到访
分类:
其他好文 时间:
2018-08-16 10:37:08
阅读次数:
195
Nginx防盗链编辑虚拟配置文件[root@100xuni1~]#vim/usr/local/nginx/conf/vhost/test.com.conf添加配置的内容location~*^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)${expires7d;valid_referersnoneblockedserver_
分类:
Web程序 时间:
2018-08-16 00:41:36
阅读次数:
276
配置文件>>worker_processes1;events{worker_connections1024;}http{log_formatmain‘$remote_addr-$remote_user[$time_local]"$request"‘‘$status$body_bytes_sent"$http_referer"
nginx防盗链配置如下,可以和不记录静态文件配置结合起来location~*^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)${expires7d;valid_referersnoneblockedserver_names*.test.com;#设置白名单if($invalid_referer){return403;#不
分类:
Web程序 时间:
2018-06-19 11:50:45
阅读次数:
243
nginx访问日志日志格式[root@aminglinux-02nginx]#vimconf/nginx.conflog_formatcombined_realip‘$remote_addr$http_x_forwarded_for[$time_local]‘‘$host"$request_uri"$status‘‘"$http_referer""$http_user_agent"‘;combin
分类:
其他好文 时间:
2018-06-19 10:32:53
阅读次数:
237
12.13 Nginx防盗链12.14 Nginx访问控制12.15 Nginx解析php相关配置12.16 Nginx代理12.13 Nginx防盗链与日志记录和日期时间结合在一起location ~* ^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)$ //匹配*,后面正则不区分大小写{ ex
分类:
其他好文 时间:
2018-06-18 11:02:54
阅读次数:
179
一、Nginx的防盗链在配置文件里面增加以下代码:(/usr/local/nginx/conf/vhost/test.com.conf)location~*^.+\.(gif|jpg|png|swf|flv|rar|zip|doc|pdf|gz|bz2|jpeg|bmp|xls)${expires7d;valid_referersnoneblockedserver_names*.test.com;
分类:
Web程序 时间:
2018-06-12 10:32:55
阅读次数:
228
一、Nginx防盗链#vi/usr/local/nginx/conf/vhost/test.com.conf#/usr/local/nginx/sbin/nginx-t#/usr/local/nginx/sbin/nginx-sreload#curl-e"http://www.baidu.com/1.txt"-x127.0.0.1:80-Itest.com/1.gif//提示4
分类:
Web程序 时间:
2018-06-12 10:26:13
阅读次数:
200
