现在位置: 首页 > jisec发表的所有文章
安装最新的php7.0.6在安装成功后运行 php -m 查看安装了哪些扩展 ,或者执行任意php命令报错 php -v PHP Deprecated: PHP Startup: memcached.sess_lock_wait and memcached.sess_lock_max_wait are deprecated. Please update your configuration to use memcached.sess_lock_wait_min, memcached.sess_lock_wait_max and memcached.sess_lock_retries in Unknown on line 0 Deprecated: PHP Startup: memcached.sess_lock_wait and memcached.sess_lock_max_wait are deprecated. Please update your configuration to use memca......
阅读全文
Yii CDbCriteria 常用方法 注:$c = new CDbCriteria();是ActiveRecord的一种写法,使ActiveRecord更加灵活,而不是手册中DAO(PDO)和Query Builder。 官方手册地址:http://www.yiiframework.com/doc/api/1.1/CDbCriteria 这是Yii CDbCriteria的一些笔记和常用用法: 一、一个sql拼装的情况 PHP代码 Php代码 $criteria = new CDbCriteria; //函数方式 $criteria->addCondition("id=1"); //查询条件,即where id = 1 $criteria->addInCondition('id', array(1,2,3,4,5)); //代表where id IN (1,23,,4,5,); $criteria->addNotI......
阅读全文
public function getMinLimit () { $sql = "..."; $result = yii::app()->db->createCommand($sql); $query = $result->queryAll(); return array ( $query [0] ['max'], ); } $connection=Yii::app()->db; $sql="SELECT u.account,i.* FROM sys_user as u left join user_info as i on u.id=i.user_id"; $rows=$connection->createCommand ($sql)->query(); foreach ($rows as $k => $v ){ echo $v['add_time']; } =======================================......
阅读全文
ImageMagick是一款使用量很广的图片处理程序,很多厂商都调用了这个程序进行图片处理,包括图片的伸缩、切割、水印、格式转换等等。但近来有研究者发现,当用户传入一个包含『畸形内容』的图片的时候,就有可能触发命令注入漏洞。 国外的安全人员为此新建了一个网站: https://imagetragick.com/ ,不得不说,有些外国人蛮会玩的。 相对于之前的数个拥有『主页』的漏洞,这个洞确实不一般,确实是一个可以被利用的好洞,乌云主站上也爆出了数个被该漏洞影响的大厂商。我们先来分析一下它出现的原因。 0x01 原理分析 与这个漏洞相......
阅读全文
蚊子 嗡嗡嗡。 ImageMagick ImageMagick 昨天曝出 CVE-2016-3714,Java、PHP 的库也受其影响。其中 PHP 的库 Imagick 应用广泛,波及也大。Wordpress 也就是受此漏洞影响出现了 RCE。 这个漏洞很蠢,ImageMagick 在 MagickCore/constitute.c 的 ReadImage 函数中解析图片,如果图片地址是 https:// 开头的,即调用 InvokeDelegate。 MagickCore/delegate.c 定义了委托,第 99 行定义了要执行的命令。 最终 InvokeDelegate 调用 ExternalDelegateCommand 执行命令。 MagickCore/delegate.c 为了让大家更清楚的看见: 当时我就这个......
阅读全文
文章目录 Paragon NTFS 14 for mac 14.0.483  介绍 由于windows下的分区格式与Mac的分区格式不通用,就导致了移动硬盘不通用的情况,然而 Paragon NTFS 就是为解决这个问题而生, Paragon NTFS 可以说是 Mac 上最知名的一款 NTFS 分区驱动了,能够让我们读写 NTFS 分区,因为在Mac OS X 系统上,默认对NTFS分区只能读而不能写,但我们的移动硬盘或U盘很多都是用NTFS进行的分区,所以当你发现在Mac上无法往移动硬盘或U盘中写入数据时,大部分原因是你没有按照NTFS分区驱动,安......
阅读全文
GitLab 是一个用于仓库管理系统的开源项目。越来越多的公司使用Git作为代码管理工具,并在此基础上搭建起来的web服务,且允许外网访问,这就出现个问题,开发人员一般不会注意是否将代码public了,只要项目权限开源,这样公司的代码就处在人人都能下载,且看下面 利用Google hack site:*.cn/public/projects/ 找到带cn的域名的git库 风云直播 章鱼TV 各种配置文件 发现找到的不是很多, 于是分析gitlab 首页具有特征性的标志, GitLab is open source software to collaborate on code. Sign in or browse for public projects. 能有很多......
阅读全文
. 作者: Falcon 博客: https://www.jisec.com 文件名称 : Falcon子域名扫描工具.exe 文件大小 : 3562496 byte : 文件类型 : application/x-dosexec MD5:a33c5adba55a5430bfabc40910704e69 SHA1:da3e4d43f6b879d75cfdad71f2f42b83e17b4007 本人开发的一款根据域名查询子域名的工具,渗透必备神器,有返回网站Title,想必不说大家也知道有什么用了吧,扫描出所有的子域名,然后返回服务器状态,服务器类型,子域名网站的Title,这样找出系统管理后台是不是很easy,这是针对信息收集的重要一步,扫描出结果后双击需要打开的域名,即可使用默认浏览......
阅读全文
  • 04月
  • 12日
网络安全 ⁄ 共 1606字 暂无评论
在甲方公司做代码审计一般还是以白盒为主,漏洞无非这么几类,XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露等。 1.xss + sql注入 其中占大头的自然是XSS与SQL注入,对于框架类型或者有公共文件的,建议在公共文件中统一做一次XSS和SQL注入的过滤。写个过滤函数,可由如下所示: $_REQUEST = filter_xss($_REQUEST); $_GET = filter_xss($_GET); $_POST = filter_xss($_POST); $_COOKIE = filter_xss($_COOKIE); $_POST = filter_sql($_POST); $_GET = filter_sql($_GET); $_COOKIE = filter_sql($_CO......
阅读全文
当看到别人网站的页面比较漂亮的时候,就想给扒皮下来,学习学习。分享一个我常用网站扒皮命令wget 这个命令可以以递归的方式下载整站,并可以将下载的页面中的链接转换为本地链接。 wget加上参数之后,即可成为相当强大的下载工具。 wget命令详解 wget -r -p -np -k http://xxx.com/xxx -r, --recursive(递归) specify recursive download.(指定递归下载) -k, --convert-links(转换链接) make links in downloaded HTML point to local files.(将下载的HTML页面中的链接转换为相对链接即本地链接) -p, --page-requisites(......
阅读全文
Falcon PathScan(猎鹰路径扫描器) 作者: Falcon 博客: https://www.jisec.com 能够根据字典快速扫描出站点存在的路径,文件,基于python 的一款扫描器,适和在 windows, linux, mac 下运行   # Enumeration web path scanning tools, use the dictionary # Coded By Falcon - www.jisec.com # Use the help, for example falcon.py http://www.google.com/ 10 # 10 is the thread here # The results of the scan in FalconPathScan/results.txt 下面是运行图片   按照帮助执行扫描后会在目录下生成results.tx 的文件 结......
阅读全文
随着PHP7实际线上使用的越来越多,据测试,效率得到大幅提升,当然我们也得紧跟步伐向前走了,首先mac 是自带了php5.5.3环境 ,我们就需要自己再安装一个php7然后替换掉原有的php就可以了. 1.安装homebrew homebrew是mac下非常好用的包管理器,会自动安装相关的依赖包,将你从繁琐的软件依赖安装中解放出来。 安装homebrew也非常简单,只要在终端中输入: ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)" homebrew的常用命令: brew update #更新可安装包的最新信息,建议每次安装前都运行......
阅读全文
×