nginx fastcgi配置失误+解析漏洞引发的漏洞

现在一定还有很多网站用的nginx,自从N个月以前的nginx解析漏洞以来,现在差不多都修复了,一般语句都是这么写的

if ( $fastcgi_script_name ~ \..*\/.*php ) {
return 403;
} 继续阅读nginx fastcgi配置失误+解析漏洞引发的漏洞

关于手机的隐私保护

关于手机IMEI
根据IMEI就可以进行基站定位,找出此手机曾经用过的SIM卡。
所以建议用山寨鸡,因为你懂的,山寨鸡IMEI有时候是会相同的,这就是为何欧美国家不允许山寨鸡进入国土,因为国家没法进行定位,以定位,尼马,满地图都是。。
即使你说你的SIM卡,或者之前用过的SIM卡都是没有实名的,那么好,查你的通话记录,你给你亲人,或者现实朋友打电话,通话记录都是有的。。一个一个确认就可以  继续阅读关于手机的隐私保护

Ecshop最新注入0day分析报告

今天习惯性的到处逛,看看文章。看到了360爆的一个ecshop 支付宝支付插件的注入漏洞,照例的分析下,360的团队还是挺赞的。

由于漏洞源于ecshop的支付宝支付插件,所有利用前提是站点安装此插件,利用不受GPC影响。

漏洞核心代码在\includes\modules\payment\alipay.php 文件 respond()函数,第215行。

继续阅读Ecshop最新注入0day分析报告

php文件包含漏洞的解决方法

现在程序代码写的越来越千奇百怪,就一种文件包含的代码就能写出2种:require include

先说require 如果出错则终止输出,include 如果出错则继续执行。

如果一个网站的管理用户写在auth.php里,且auth.php被恶意删除了,如果用require则没有漏洞。

如果用include则产生漏洞,这是为什么?因为Include在遇到错误时会继续执行,这样用户密码就为空,就进入了后台。

再如果 一个网站 查看一条公告是链接式index.php?act=view&file=gonggao.php 继续阅读php文件包含漏洞的解决方法

通杀wordpress 暴路径漏洞

缺陷文件:

http://www.akg.pw/wp-includes/registration-functions.php

关键代码 :
—->
<?php
/**
* Deprecated. No longer needed.
*
* @package WordPress
*/
_deprecated_file( basename(__FILE__), ’2.1′, null, __( ‘This file no longer needs to be included.’ ) );
?>
—–> 继续阅读通杀wordpress 暴路径漏洞

关于网站安全的一些思考

[ 目录 ]
0×00 引语
0×01 个人信息安全
0×02 域名安全
0×03 服务器安全

0×00 引语
在网络世界中,我们不得不叹服网络的便捷性适应性,但是在此同时网络安全值得我们深思,一下提出一些关于服务器,个人信息安全的一些见解。 继续阅读关于网站安全的一些思考