Posted by amxku on 2008-09-28, 02:49 . 技术相关
by amxku
2008-09-28
http://www.wolfexp.net
在php中用户的输入数据为 GET、POST 和 COOKIE 三种,一般被称为 GPC 数据。php4.3.0之后的版本中register_globals 的默认值为off,但现在还是有部分在php.ini中将register_globals 的设为on,所以这里就存在了一些隐藏的风险。
register_globals 本身并没有安全风险。但如果将register_globals设为on,在全局名称空间和 $_GET、$_POST 或 $_COOKIE 数组中,将创建 GET、POST 和 COOKIE 传递到 php 脚本的所有变量。各种变量都被注入代码。再加上 php 在使用变量之前是无需进行初始化的,如果开发人员没有好的编程习惯,这就使得更容易产生一些安全风险。
» 阅读全文
Posted by amxku on 2008-09-26, 15:53 . 技术相关
<form name="my_form_tres" action=""
onSubmit=window.open("http://www.example.com")>
<input type="submit" id="my_submit_button_tres"
style="position:absolute;left:0px;visibility:hidden;"/>
<a href="http://www.breakingpointsystems.com"
onMouseUp=document.getElementById('my_submit_button_tres').click()>Fake
link (onmouseup and click)</a>
</form>
可参见http://www.planb-security.net/notclickjacking/Tags: submitjacking, 技术, 脚本
Posted by amxku on 2008-09-16, 14:26 . 技术相关
Tags: php, sablog, autosuggestion
Posted by amxku on 2008-08-22, 01:29 . 技术相关
跟了一天,无语了。还是没有搞定。呼呼
不知道tk教主怎么搞定的。回头跟罗哥请教请教
Tags: ms08-046
Posted by amxku on 2008-08-05, 21:01 . 技术相关
php在进行utf8编码转换时比较严格,对于提交不合法的数据将丢掉或不解析,而第三方编码类在这里会进行强行转换。这就是这两天转码引发了一连串的东东。
sablog 1.6注射漏洞 http://www.sebug.net/vulndb/3784/
Discuz!论坛wap功能模块编码的注射漏洞 http://www.sebug.net/vulndb/3778/
PHPWind Forums编码注射漏洞 http://www.sebug.net/vulndb/3785/
下了几套开源的系统看看了,还有部分系统也同意存在这样的问题。比较龌龊的东东。建议采用第三方编码转换类的朋友检查一下。
Posted by amxku on 2008-08-02, 23:56 . 技术相关
Tags: msn, 跨站, 代码, xss, bug, 漏洞
Posted by amxku on 2008-07-27, 22:08 . 技术相关
MySQL 的优点除了 open source 外,另一点就是在每个资料表选择不同 storage engines 的特性。MySQL 支持 7 种 storage engines,包括 MyISAM(默认)、InnoDB、Heap、Archive、Merge、NDB、example。
以下這篇文章详细介紹了 MySQL Storage Engines,包括各种 storage engines 的特性:
Posted by amxku on 2008-07-27, 21:02 . 技术相关
$fp =@fsockopen($domain, $port, $errno, $errstr, 20);
if(!$fp){
return "UNKNOWN";
exit;
} else {
$ok = false;
@fputs($fp,"GET $geturl HTTP/1.0\nHost: $domain\n\n\r\n");
while(!feof($fp)){
$line = fgets($fp,128);
if(! $ok && preg_match("/^[\r\n]+$/",$line)) {
$ok = true; //正文开始
}
if(!$ok){
if(preg_match("/([^:]+?):(.+)/",$line,$r))
$info[$r[1]] = $r[2];//取WEB版本
}else{
$body.=$line;//取得BODY文件
}
}
}
fclose($fp);
Posted by amxku on 2008-06-26, 00:31 . 技术相关
通过SSH执行远程服务器上的命令,很好很强大,方便多了。
PS:
for i in 3 23 5 15 ; do ssh root@192.168.1.$i ps auxH|grep httpd|wc -l ; done; 原文:http://bashcurescancer.com/run_remote_commands_with_ssh.html
#就可以列出192.168.1.3,23 ,5 ,15,四台服务器上的httpd线程数;也可以利用{1..250} 依次遍历。
Posted by amxku on 2008-06-23, 14:02 . 技术相关
by amxku
2008-06-23
http://www.wolfexp.net
虚拟主机C盘权限设置 [IIS] V1.4 更新记录(基于1.3)
添加将C盘权限还原为默认
虚拟主机C盘权限设置 [IIS] V1.3 更新记录(基于1.2)
修正了删除C盘的Everyone的权限
修正了删除的所有的Users的访问权限
添加删除C盘Windows下的所有的危险文件夹
添加删除系统危险文件的访问权限,只留管理组成员
添加注册表相关设定
虚拟主机C盘权限设置 [IIS] V1.2更新记录(基于1.1)
修正了一些不正确的权限设置
添加了清理系统垃圾
info:http://www.sebug.net/bbs/thread-137-1-1.html
MD5:23F83964EE5A39FF5662E487BD3C2465
附件: vh_gh0st for iis v1.4.rar [ 2.62 K, 下载次数:76 ]
Tags: 权限设置, vh_gh0st for iis, 原创
