今天所做的努力
都是在为明天积蓄力量

WEB安全

常见网站程序目录权限安全设置(discuz,dede,帝国,phpcms等)

无依阅读(27)评论(0)赞(0)

网站安全这个是一个重要问题,现在网上很多开源程序,研究的人多了,漏洞就经常发现,经常导致被黑,现在将部分程序整理一下,对应的目录安全设置,把网站程序安装更新完成后,可以参考下面设置一下目录权限设置。设置后可以很大程度上保障网站渗透,和被黑上...

网站被镜像后期溯源查找镜像来源1

无依阅读(477)评论(0)赞(0)

之前网站被镜像虽然处理了:怎么处理网站被镜像,无法获取采集来源ip,通过js进行跳转防采集,但是还是很不甘心,在想能不能找到他抓取来源的ip。 先检测一下域名whois查看是哪里注册的,域名所有者是谁? 在https://x.threatb...

CMS核心文件篡改效验程序使用操作说明-流觞

CMS核心文件篡改效验程序使用操作说明

无依阅读(376)评论(0)赞(1)

说明 这个程序主要是用户减小,查网站挂马,清理挂马查找核心文件被被篡改的工作量,能很大的提高工作效率 一、创建效验数据库 运行sqlite数据库生成.exe,生成新的效验数据库, 如果之前已经创建来看对应的效验数据库,可以跳过此步骤,或者重...

使用exp进行SQL报错注入-流觞

使用exp进行SQL报错注入

无依阅读(346)赞(0)

此文为BIGINT Overflow Error Based SQL Injection的具体发现与实践 from:https://osandamalith.wordpress.com/2015/07/15/error-based-sql-...

nginx 基本安全优化-流觞

nginx 基本安全优化

无依阅读(432)赞(0)

1、隐藏nginx版本号,可以预防针对性的版本漏洞攻击。 语法: server_tokens on | off; #默认是on 可以添加的位置分别是http server location区 2、若要隐藏nginx的软件名,那么需要修改源码...

hidden属性的input.MD-流觞

hidden属性的input.MD

无依阅读(495)评论(0)赞(0)

今天看到一个XSS漏洞,插入点在一个有hidden属性的input 标签,大致情况如下: 正常情况下的XSS应当是: http://victim/?value=” onclick=”alert(document.domain) 但是这里由于...

XXS绕过htmlspecialchars-流觞

XXS绕过htmlspecialchars

无依阅读(526)评论(0)赞(0)

xss攻击很多场景下htmlspecialchars过滤未必能奏效。 场景1: 源码如下: <?php $name = $_GET["name"]; $name = htmlspecialchars($name); ?> <...