脚本攻防

ThinkPHP是一个国内使用很广泛的老牌PHP MVC框架。貌似国内有不少创业公司或者项目都用了这个框架。 最近官方发布了一个安全补丁，官方表述是：该URL安全漏洞会造成用户在客户端伪造URL，执行非法代码。 可是貌似大多数开发者和使用者并没有注意到...

1、加入单引号 ’提交, 结果:如果出现错误提示，则该网站可能就存在注入漏洞。 2、数字型判断是否有注入; 语句：and 1=1 ;and 1=2 （经典）、\’ and \’1\’=1(字符型） 结果:...

php后门木马常用的函数大致上可分为四种类型： 　　1. 执行系统命令: system, passthru, shell_exec, exec, popen, proc_open 　　2. 代码执行与加密: eval, assert, call_use...

—–解决方案———————————————...

一、什么是XSS XSS又叫CSS (Cross Site Script) ，跨站脚本攻击。它指的是恶意攻击者往Web页面里插入恶意html代码，当用户浏览该页之时，嵌入其中Web里面的html代码会被执行，从而达到恶意用户的特殊目的。XSS属于被动式...

今天无聊来看看他们的站，打开网站 asp 的企业站 ，点了几个链接看了下，看不出来什么程序 于是扫扫目录 扫出来个 upload_photo.asp 这个文件一般使用的是无惧无组件上传 ，存在双文件上传的漏洞 ，尝试 cookies 欺骗绕过登录检测 ...

现在的黑客多胆大包天啊，在天朝居然敢干这种明目张胆的事情。 应该是前几天出的那个dedecms的0day.官方的网站被日，然后被在风格模板里面值入 了一句话木马。XXOO。这年头啥多靠不住。”官方”也一样！你懂得的？ 另外一个目...

使用方法：需要将以下代码保存为一个单独的php文件。上传到服务器之后，本地NC监听一个端口，在代码里设置好反弹IP和端口，然后直接访问上传的php文件，就会给 NC 弹回来一个shell。 测试实例：先在本地执行 nc -vv -l -p port，然...

“上传漏洞”入侵是目前对网站最广泛的入侵方法。90%的具有上传页面的网站，都存在上传漏洞。本文将介绍常见的上传漏洞及其防范技巧。 一、能直接上传asp文件的漏洞 如果网站有上传页面，就要警惕直接上传asp文件漏洞。例如去年流行的...

首先介绍下php的各种标签： 1)： <?php ?> demo: <?php echo "test";?> 这个标签现在程序大多都是使用的这种标签！大家都不陌生了，这里就不多介绍了！ 2)： <? e...

这两天拿站的时候，好几回都遇到个叫万博的企业管理系统，今天有时间就下载过来看了看，找到了个注入漏洞，郁闷的是，得手工，没法用工具，累人的事。因为已经找到了一个，我就没兴趣接着往下看了。 这个注入漏洞发生在html/MemberLogin.asp文件里，...

1：抓包上传 我们可以用WSockExpert(抓包工具) hkcpost抓包提交软件或等等抓包工具 说下hkcpost有时候电脑打不开WSockExpert(抓包工具) 我们就用这工具 很好用 说到抓包上传 比如一个上传地址http://site/u...