标签目录：漏洞

2015
07-05

PHP网站常见安全漏洞，及相应防范措施总结

目前，基于PHP的网站开发已经成为目前网站开发的主流，本文笔者重点从PHP网站攻击与安全防范方面进行探究，旨在减少网站漏洞，希望对大家有所帮助!一、常见PHP网站安全漏洞对于PHP的漏洞，目前常见的漏洞有五种。分别是Session文件漏洞、SQL注入漏洞、脚本命令执行漏洞、全局变量漏洞和文件漏洞。这里分别对这些漏洞进行简要的介绍。1、session文件漏洞Session攻击是黑客最常用到的攻击手段之一。当一个用户访问某一个网站时... 继续阅读 >

2015
04-23

PHP任意文件上传漏洞

漏洞细节:这个漏洞存在于php中一个非常常用的函数中：move_uploaded_files，开发者总是用这个函数来移动 上传 的文件,这个函数会检查被上传的文件是否是一个合法的文件(是否是通过HTTP的post机制上传的)，如果是合法的文件，则将它一定到指定目录中。例子：move_uploaded_file(string$filename,string$destination)这里的问题是，可以在文件名中插入空字符(之前多次修复过这个漏洞，比如CVE-2006-7243)... 继续阅读 >

2015
02-05

详析php对象注入漏洞

0x00背景php对象注入是一个非常常见的漏洞，这个类型的漏洞虽然有些难以利用，但仍旧非常危险，为了理解这个漏洞，请读者具备基础的php知识。0x01漏洞案例如果你觉得这是个渣渣洞，那么请看一眼这个列表，一些被挖到过该漏洞的系统，你可以发现都是一些耳熟能详的玩意(就国外来说)WordPress3.6.1Magento1.9.0.1Joomla3.0.3Ipboard3.3.5除此之外等等一堆系统，八成可能大概在这些还有其他的php... 继续阅读 >

2014
12-12

Heartbleed 心脏出血

BruceSchneierHeartbleed(心脏出血)是OpenSSL中一个灾难性的bug：任何能上网的人都可以通过这个“心脏出血(Heartbleed)”bug读取你的服务器的内存信息——只要你的系统是用这个有漏洞的OpenSSL软件做安全保护的。它会泄露用来认证服务提供商和用来加密内容传输的密钥，还会泄露用户的用户名和密码，以及用户正在使用的内容信息。黑客能利用这个漏洞窃听你和服务器交流的信息，直接窃取你和服务器的... 继续阅读 >

2014
12-12

漫画解释 openSSL 的 heartbleed 漏洞

前几天openSSL的「滴血之心」漏洞造成的恐慌几乎席卷全球，国内外白帽子黑帽子疯狂刷数据刷积分，各大网站的安全部门也是遇到了从未有过的危机。虽然大家都讨论的很热烈，但对于用户们来说，只关心一件事情：我们支付宝里的钱还安全么。除此以外，好奇的人们或许更想知道openSSL的程序员到底犯了什么错误，好在有xkcd这样的geek网站，用最最通俗易懂的方式，向大家展示了这个漏洞的原理和可爱之处。还不明白的同... 继续阅读 >

2014
12-12

许多设备永远都不会修复心脏出血漏洞

本文为作者TomSimonite 发表在TechnologyReview网站上的《ManyDevicesWillNeverBePatchedtoFixHeartbleedBug》一文，主要通过讲述OpenSSL漏洞一事提起了许多联网设备因为缺乏必要的安全管理和软件更新，可能永远都无法修复这一安全漏洞，看似不会造成威海，但却存在非常高的安全风险。本周最受关注的安全问题莫过于 OpenSSL“心脏出血”漏洞，这一漏洞将影响超过2/3网站，几乎所... 继续阅读 >