1 上传技术基础1.1 JS验证绕过类 如何判断为本地验证呢? 一般情况下速度较快的返回信息认为是本地验证,但有时候需要根据抓包以及跟踪上传代码来分析是否为本地验证。 删除验证方法绕过上传 修改过滤白名单绕过上传 在客户端的检测中,通常使用JS对上传图片检测,包括文件大小、文件拓展名、文件类型等.....
分类:
Web程序 时间:
2015-08-08 18:01:33
阅读次数:
501
原文:http://wsgzao.github.io/post/iptables/iptables配置实践Bywsgzao发表于 2015-07-24文章目录1.前言2.更新历史3.基础知识3.1.关闭iptables3.2.基础语法4.配置iptables白名单机制5.设置crontab脚本前言在...
分类:
其他好文 时间:
2015-07-25 09:23:51
阅读次数:
156
0x01.在问题一(详见上文)中,获取文件后缀名$file_type = $_FIELS['file']['type'],通过和白名单比较,假如相同,则取上传文件的后缀名。上文说过,MIME头欺骗问题(这里不考虑重命名文件名问题),如果上传数据包修改Content-type的类型,$file_typ...
分类:
Web程序 时间:
2015-07-22 01:26:28
阅读次数:
703
阅读目录:介绍基于IP全局限流基于IP的端点限流基于IP和客户端key的端点限流IP和客户端key的白名单IP和客户端key自定义限制频率端点自定义限制频率关于被拒请求的计数器在web.config或app.config中定义限制策略获取API的客户端key存储限流的数据运行期间更新限制频率限流的请...
0x01:文件上传漏洞起因于,上传程序没有对上传文件格式进行正确判断,导致可执行程序上传到网站目录。常见的验证上传文件有两种:1.js本地验证,通过js获取上传文件后缀名,并和白名单比较,匹配则上传成功。由于js代码是本地验证,存在绕过风险(去除js代码,构造表单数据,直接绕过)。2.后端程序验证,...
分类:
Web程序 时间:
2015-07-21 01:02:16
阅读次数:
336
1.不要使用默认端口:Port2022前面的注释符"#"去掉,并将端口修改为自己认为合适的端口号,假设是20222.不要使用protocol1:修改为protocol23.限制可登录的用户#白名单AllowUsersuser1user2user3...设置允许登录ssh服务器的用户,添加如下内容#黑名单可以添加用户或者租4.设定..
分类:
其他好文 时间:
2015-07-19 21:59:16
阅读次数:
127
问题现象:delphi不能进行调试模式问题原因:可能是防火墙的原因,我有一次在电脑清理时,把delphi的调试程序名放在了360的黑名单中,按F9后,无法调试。问题处理:你懂的(要不白名单,要不你就删除那个杀毒软件)。问题现象:delphi不能进行调试模式问题原因:自己把项目设置成了Release。...
我们在Android开发中总能看到程序的log日志内容充满了屏幕,而真正对开发者有意义的信息被淹没在洪流之中,让开发者无所适从,严重影响开发效率。本文就具体介绍几种在shell命令行中过滤adblogcat输出的方法。 1、只显示需要的输出(白名单) 最方便的当然是通过管道使用 grep 过滤了,这...
分类:
数据库 时间:
2015-07-14 17:03:41
阅读次数:
148
配置防盗链:防止由于外部盗用链接从而消耗本地网络资源,要设置防盗链。编辑“虚拟主机配置文件”,在配置静态缓存下面粘贴‘防盗链’模版。SetEnvIfNoCaseReferer"^http://.*\.lam\.com"local_ref(白名单1)SetEnvIfNoCaseReferer".*\.lam2\.com"local_ref(白名单2)<fi..
分类:
Web程序 时间:
2015-07-12 00:30:45
阅读次数:
220
编辑虚拟主机配置文件[root@LAMPLINUX~]#vim/usr/local/apache2/conf/extra/httpd-vhosts.conf在Discuz配置的别名网址下添加通过访问日志ban掉攻击网站的IP(例:1.1.1.1)<Directory"/data/www">#(这里改成对应的directory)AllowOverrideNoneOptionsNoneOrderallow,deny..
分类:
Web程序 时间:
2015-07-11 18:44:33
阅读次数:
216
