本月博客排行
-
第1名
龙儿筝 -
第2名
johnsmith9th -
第3名
wy_19921005 - zysnba
- sgqt
- lemonhandsome
年度博客排行
-
第1名
宏天软件 -
第2名
青否云后端云 -
第3名
龙儿筝 - gashero
- wallimn
- vipbooks
- benladeng5225
- wy_19921005
- fantaxy025025
- e_e
- zysnba
- ssydxa219
- sam123456gz
- javashop
- arpenker
- tanling8334
- kaizi1992
- xpenxpen
- wiseboyloves
- xiangjie88
- ranbuijj
- ganxueyun
- xyuma
- sichunli_030
- wangchen.ily
- jh108020
- lemonhandsome
- zxq_2017
- jbosscn
- Xeden
- luxurioust
- lzyfn123
- zhanjia
- johnsmith9th
- forestqqqq
- ajinn
- nychen2000
- wjianwei666
- hanbaohong
- daizj
- 喧嚣求静
- silverend
- mwhgJava
- kingwell.leng
- lchb139128
- lich0079
- kristy_yy
- jveqi
- java-007
- sunj
最新文章列表
【转】PHP的两个特性导致waf绕过注入
1、HPP HTTP参数污染
HTTP参数污染指的是,在URL中提交相同键值的两个参数时,服务器端一般会进行一些处理。比如Apache就要以最后一个参数为准,比如:
user.php?id=111&id=222
如果输出$_GET数组,则id的值只会取222,即URL上提交的多余值覆盖了前一个值。
2、一个CTF题目
Nginx 使用naxsi 防xss、防注入攻击配置
== 对于nginx有相应模块来完成WAF构建,此处使用的是naxsi模块。 ==
Naxsi是一个开放源代码、高效、低维护规则的Nginx web应用防火墙模块。Naxsi的主要目标是帮助人们加固他们的web应用程序,以抵御SQL注入、跨站脚本、跨域伪造请求、本地和远程文件包含漏洞。
一、安装前提
1.必须安装了nginx并可提供基本服务(这个是添加模块儿的前提,自己goo ...
网路游侠:关于安全这个圈子……有话说
最近,不止一个朋友和我说:不想干这个行业了。我问为什么?说感觉有点像骗人。并且几个都和我这么说。我说你强大的忽悠能力,骗了这么多人,突然良心发现了?
其实,安静下来想:自己有时候也在考虑这个问题——我们的所作所为,到底多少是真的从客户角度出发?客户的每一分钱,是否真的花到了点子上?
——不仅我犯嘀咕,可能犯嘀咕的人很多。
用户关心的,其实不是卖多少设备,而是:我最关心的问题,到底解决了没有 ...