PHP安全配置

一、屏蔽PHP错误信息在配置文件中，设置display_errors=On，开启了PHP错误显示，在PHP程序遇到错误时，会暴露PHP文件和系统路径，从而容易被威胁，我们需要设置：;默认开启;Default Value: On;研发环境开启;Development Value: On;生产环境开启;Production Value: Off;……

05-29 立刻查看

PHP建议禁用的危险函数

PHP配置文件中的disable_functions选项能够在PHP中禁用指定的函数。PHP中有很多危险的内置功能函数，如果使用不当，可造成系统崩溃。禁用函数可能会为研发带来不便，但禁用的函数太少又可能增加研发人员写出不安全代码的概率，同时为黑客非法获取服务器权限提供遍历。在PHP配置文件中添加需要禁用的函数可以有效避免webshell。在PHP中配置如下……

05-29 立刻查看

PHP安全函数过滤

这篇文章给大家介绍的内容是关于php中安全过滤函数的总结（附代码），有一定的参考价值，有需要的朋友可以参考一下，希望对你有所帮助。htmlentities() 函数把字符转换为 HTML 实体1234567891011121314<?php $a = $_GET[fname]; $a1 = h……

04-25 立刻查看

SQL注入详谈

简介所谓SQL注入，就是通过把SQL命令插入到Web表单提交或输入域名或页面请求的查询字符串，最终达到欺骗服务器执行恶意的SQL命令。原理针对 SQL 注入的攻击行为可描述为通过用户可控参数中注入 SQL 语法，破坏原有 SQL 结构，达到编写程序时意料之外结果的攻击行为。其成因可以归结以下两个原因叠加造成的：1、程序编写者在处理程序和数据库交互时……

04-12 立刻查看

网络安全——浅谈HTTPS协议

简介HTTPS，安全的HTTP，也被称为HTTP over TLS，TLS的前身是SSL。HTTPS的安全基础是SSL。SSL协议位于TCP/IP协议与各种应用层协议之间，为数据通讯提供安全支持。SSL协议：SSL记录协议–建立在可靠的传输协议之上，为高层协议提供数据封装，压缩、加密等基本功能。SSL握手协议–建立在SSL记录协议之上，用户在实际的数……

04-10 立刻查看

网络安全——浅谈HTTP协议

简介：什么是HTTP？HTTP–Hyper Text Transfer Protocol，超文本传输协议，是一种建立在TCP上的无状态连接，整个基本的工作流程是客户端发送一个HTTP请求，说明客户端想要访问的资源和请求的动作，服务端收到请求之后，服务端开始处理请求，并根据请求做出相应的动作访问服务器资源，最后通过发送HTTP响应把结果返回给客户……

04-10 立刻查看

XSS游戏挑战详解（下）

前文：XSS游戏挑战详解（上）level-11查看源代码，发现本关与第十关类似，还发现t_ref参数的值包含上一题提交的参数此时，利用burp抓包,修改referer1" type="text" onclick="alert(1)level-12同上，查看源代码，发现t_ua参数的值为Use……

04-08 立刻查看

XSS游戏挑战详解（上）

前言最近刚学到xss，老师发了一个靶场，刚好拿来练练手，提升下技术，本文用于记录。level-1查看源代码，发现有参数name，那么尝试最基本的攻击，通关成功。1<script>alert(1)</script>level-2利用第一关的代码，发现输入的值在input标签内，这时尝试闭合标签……

04-07 立刻查看

web渗透测试靶站开源系统

分享几个web渗透测试常用网站(靶场)DVWA (Dam Vulnerable Web Application)DVWA是用PHP+Mysql编写的一套用于常规WEB漏洞教学和检测的WEB脆弱性测试程序。包含了SQL注入、XSS、盲注等常见的一些安全漏洞。链接地址mutillidaemutillidaemutillidaemutillidae是一……

03-26 立刻查看

浅谈xss——跨站脚本攻击(四)

前文：浅谈xss——跨站脚本攻击(一)浅谈xss——跨站脚本攻击(二)浅谈xss——跨站脚本攻击(三)讲了这么多攻击方式，这次讲一讲防范方法反射型xss漏洞防范1234567891011121314151617181920212223A.PHP直接输出html的，可以采用以下的方法进行过滤：1.htmlspecialchars函数2.h……

03-22 立刻查看

浅谈xss——跨站脚本攻击(三)

接上文：浅谈xss——跨站脚本攻击(一)浅谈xss——跨站脚本攻击(二)DOM型xss新建一个Dom.php文件，插入以下代码1234567891011<?php error_reporting(0); //禁用错误报告 $name = $_G……

03-22 立刻查看

浅谈xss——跨站脚本攻击(二)

接着上文讲：浅谈xss——跨站脚本攻击(一)这次谈谈存储型XSS和反射性XSS的即时响应相比，存储型XSS则需要先把利用代码保存在比如数据库或文件中，当web程序读取利用代码时再输出在页面上执行利用代码。但存储型XSS不用考虑绕过浏览器的过滤问题，屏蔽性也要好很多。存储型XSS攻击流程：存储型XSS的白盒审计同样要寻找未过滤的输入点和未过滤的输出……

03-22 立刻查看

浅谈xss——跨站脚本攻击(一)

什么是xssXSS全称：跨站脚本（Cross Site Scripting）,为了不和层叠样式表（Cascading Style Sheets）的缩写CSS混合，所以改名为XSS；攻击者会向web页面（input表单、URL、留言版等位置）插入恶意JavaScript代码，导致管理员/用户访问时触发，从而达到攻击者的目的。xss跨站脚本漏洞非持久型xs……

03-21 立刻查看

一句话木马的套路

0×01 前言尽最大努力在一文中让大家掌握一些有用的 WEBSHELL 免杀技巧。0×02 关于 eval 于 assert关于 eval 函数在 php 给出的官方说明是eval 是一个语言构造器而不是一个函数，不能被可变函数调用可变函数：通过一个变量，获取其对应的变量值，然后通过给该值增加一个括号 ()，让系统认为该值是一个函数，从而当做……

03-19 立刻查看

有关ddos详解及软件和方式

首先从一个比方来深入理解什么是DDOS。一群恶霸试图让对面那家有着竞争关系的商铺无法正常营业，他们会采取什么手段呢?(只为举例，切勿模仿)恶霸们扮作普通客户一直拥挤在对手的商铺，赖着不走，真正的购物者却无法进入;或者总是和营业员有一搭没一搭的东扯西扯，让工作人员不能正常服务客户;也可以为商铺的经营者提供虚假信息，商铺的上上下下忙成一团之后却发现都是一场空，……

03-19 立刻查看

新手攻防基础

适合无基础，对黑客攻防了解不深的同学们百度网盘提取码：8p1d文章转自：中国红客联盟……

03-19 立刻查看

旅行者探测器系统漏洞扫描器渗透测试工具集

0x01 功能介绍作为一个渗透人员，在每次渗透网站的时候都要拿出一堆黑客工具，比如nmap, awvs, 御剑等工具进行测试，由于实在厌烦了一些低级重复性的工作，趁着2020年新年创建了一个工具集合平台，将渗透测试常见的域名扫描，端口扫描，目录扫描，漏洞扫描的工具集合在一起目前平台还在持续开发中，肯定有不少问题和需要改进的地方，欢迎大佬们提交建议和Bug……

03-19 立刻查看

云服务器如何安装MFS环境

在校园网环境下，由于各种限制，会导致本机虚拟机网络出现各种问题，解决起来非常繁琐，为此可以在服务器上安装MSF1. 安装MFS用xshell等工具连接你的服务器，并使用1ifconfig查看你的ip地址并记下来接下来的命令12345678// 切换目录cd /home// 获取MSF安装脚本curl https://raw.github……

03-14 立刻查看