漏洞sha1 php md5
Vue.js实现大文件分片md5断点续传
背景 根据部门的业务需求,需要在网络状态不良的情况下上传很大的文件(1G+)。其中会遇到的问题:1,文件过大,超出服务端的请求大小限制;2,请求时间过长,请求超时;3,传输中断,必须重新上传导致前功尽弃。解决方案实现思路,拿到文件,保存文件唯一性标识,切割文件、分片上传、文件MD5验证、断点续传、手 ......
搭建lnmp环境-php
系统环境:centos7 php7.4 安装php # 安装EPEL源 yum install -y epel-release # 安装Remi源 yum install -y https://rpms.remirepo.net/enterprise/remi-release-7.rpm # 安装 ......
Owasp Top10 漏洞解析 之注入
一、注入漏洞是什么? 注入漏洞,即将不受信任的数据作为命令或查询的一部分发送到解析器时,会产生诸如SQL注入NoSQL注入、OS 注入和LDAP注入的注入缺陷。攻击者的恶意数据可以诱使解析器在没有适当授权的情况下执行非预期命今或访问数据。 几乎任何数据源都能成为注入载体,包括环境变量、所有类型的用户 ......
php mvc框架怎么实现路由的?
都知道路由是实现框架重要的一步。如果对怎么实现框架感兴趣那必须要了解,而且对自己对正则表达是更加深刻了解。 m 模型 v 视图 c 控制器 mvc模式就不想多说,网上解释的一大堆,各种理解。这个标准还是比较宽松的,看自己怎么理解。本文重点是 是说路由怎么实现。通常一般主流框架访问控制器的url 是w ......
struts2相关漏洞
过去爆出的历史漏洞可以使用一些集成工具才探测,这里复现一些工具未集成的漏洞 struts2 代码执行 (CVE-2020-17530)(S2-061) 启动环境 使用另一个exp来执行 https://github.com/YanMu2020/s2-062 E:\python s2-062.py - ......
Thinkphp相关漏洞
Thinkphp版本主要有3、5、6,相关漏洞比较多,可以使用两款工具来探测。 工具未集成的漏洞存在thinkphp lang 命令执行 thinkphp lang 命令执行 环境启动 PAYLOAD GET /public/index.php?+config-create+/&lang=../.. ......
符号执行manticore工具演练之发现缓冲区溢出漏洞
符号执行之manticore工具演练 参考资料:SANS SEC 554 https://docs.soliditylang.org/en/v0.8.0/ ziion虚拟机:区块链智能合约中的kali(ziion涵盖演练中所以提及到的工具) 动静态之分 IDA是静态分析工具,常用于检测脆弱性;man ......
安全漏洞修复记录
1. 敏感信息泄露 1.1. 6443/10251/10252敏感信息泄露 上图中提示6443、10251、10252三个端口分别对应了K8S的kubelet API、kube-scheduler、kube-controller三个服务的通讯端口。访问URL显示这三个端口的指标、版本页面会显示敏感信 ......
mac安装php-kafka
首先,安装文档在: 如何使用PHPSDK接入消息队列Kafka版并收发消息_云消息队列 Kafka 版(ApsaraMQ for Kafka)-阿里云帮助中心 (aliyun.com) 但是按照这个文档,存在一个问题,一直报错: 1 ... 2 checking for rdkafka suppor ......
Apache ActiveMQ Jolokia 后台远程代码执行漏洞(CVE-2022-41678)
Apache ActiveMQ Jolokia 后台远程代码执行漏洞(CVE-2022-41678) Apache ActiveMQ是美国阿帕奇(Apache)软件基金会所研发的一套开源的消息中间件,它支持java消息服务、集群、Spring Framework等。 Apache ActiveMQ在 ......
php监控
1.开启php的监控数据监控功能 # 使用部署了php-fpm的机器即可 # yum install php-fpm -y # 1.修改参数 [root@web-7 /etc/php-fpm.d]#grep '^pm.status' /etc/php-fpm.d/www.conf pm.status ......
基于php+mysql的一个开源IT资产管理系统——CAT:v1.0.5
来自作者的一段为提高管理效率,良好发展开源的理想。 来一杯咖啡与茶,为 IT 运维从业者减轻管理负担,提升管理效率,从繁重无序的工作中解压出来,利用剩余时间多喝一杯休息一下。 这是一个专为 IT 运维从业者打造的一站式解决方案平台,包含资产管理、工单、工作流、仓储等功能模块。 ❤ 感谢各位支持。CA ......
apache相关漏洞
CVE-2021-41773 目录穿越 Apache HTTP Server 2.4.49、2.4.50版本对路径规范化所做的更改中存在一个路径穿越漏洞,攻击者可利用该漏洞读取到Web目录外的其他文件,如系统配置文件、网站源码等,甚至在特定情况下,攻击者可构造恶意请求执行命令,控制服务器。 启动环境 ......
PHP代码审计
杂 phps,可能可查看该php文件源码 index.php.bak:index.php文件备份名 php7.1+:类型不敏感,反序列化public属性可以直接赋给private _GET $_GET看成一个键值对数组(关联数组) $_GET == array(‘id’=>1,‘name’=>‘xi ......
漏洞修复总结
https://www.cnblogs.com/mrwh/archive/2019/09/21/11552720.html 1.代码注入 1.1 命令注入 命令注入是指应用程序执行命令的字符串或字符串的一部分来源于不可信赖的数据源,程序没有对这些不可信赖的数据进行验证、过滤,导致程序执行恶意命令的一 ......
ThinkPHP5.0 apache服务器配置URL重写,index.php去除
本地环境wamp .htaccess文件代码 <IfModule mod_rewrite.c> Options +FollowSymlinks -Multiviews RewriteEngine on RewriteCond %{REQUEST_FILENAME} !-d RewriteCond % ......
Java反序列化漏洞-CC1利用链分析
@目录一、前置知识1. 反射2. Commons Collections是什么3. 环境准备二、分析利用链1. Transformer2. InvokeTransformer执行命令3. ConstantTransformer4. ChainedTransformer执行命令5. Transform ......
发现隐藏的 Web 应用程序漏洞
随着 Web 2.0 的扩展,近年来社交媒体平台、电子商务网站和电子邮件客户端充斥着互联网空间,Web 应用程序已变得无处不在。 国际知名网络安全专家、东方联盟创始人郭盛华透露:‘应用程序消耗和存储更加敏感和全面的数据,它们成为对攻击者更具吸引力的目标。“ 常见攻击方式 该领域存在的三个最常见的漏洞 ......
Redis相关漏洞
默认端口:6379 Redis是一套开源的使用ANSI C编写、支持网络、可基于内存亦可持久化的日志型、键值存储数据库,并提供多种语言的API。Redis如果在没有开启认证的情况下,可以导致任意用户在可以访问目标服务器的情况下未授权访问Redis以及读取Redis的数据。 RCE-CVE-2022- ......
你写的防止任意文件上传漏洞的代码,不一定安全
说明:任意文件上传漏洞,很多PHP开发者也会做一些简单的防护,但是这个防护有被绕过的可能。 原生漏洞PHP示例代码: $file = $_FILES['file'] ?? []; //检测文件类型 $allow_mime = ['image/jpg', 'image/jpeg', 'image/pn ......
十几个冷门还好用的PHP写法(冷门的让人震惊)
环境:PHP8.1 1. else foreach/else for //012 if(false) { } else for($i = 0; $i < 3; $i++) { echo $i; } //012 if(false) { } else foreach([0, 1, 2] as $v) { ......
PHP复用CURL简单文件上传的2种方法
方法一:curlFile 客户端 $filePath = 'head.txt'; // 创建 CURLFile 对象 $file = new CURLFile($filePath); // 创建 cURL 资源 $ch = curl_init(); // 设置 cURL 选项 curl_setopt ......
手动安装LAMP——在 CentOS 7 上安装 PHP、Apache 和 MariaDB(替代 MySQL)
在 CentOS 7 上安装 PHP、Apache 和 MariaDB(替代 MySQL)的过程如下: 1. 更新系统:sudo yum update 2. 安装 Apache:sudo yum install httpd 3. 启动 Apache 服务并设置开机自启:sudo systemctl ......
记录ArcGIS Server Manager服务的网站配置文件泄露漏洞
描述 此漏洞在ArcGIS Server 10.2 for Windows上被发现,在启用了ArcGIS Server Manager服务时,通过GET请求 [主机+端口]/arcgis/manager/3370/js/../WEB-INT/web.xml 地址,任意用户可获取ArcGIS的mana ......
php tp框架 自定义日志
调用方法 $file_log = [ 'order_id' => 123, ]; (new Logs('log'))->infos('日志文案', $file_log); [2023-12-14 15:24:13] [INFO] [log] {"msg":"日志文案","params":{"orde ......
php深化学习(二)
为了提高一定效率,我需要一些工具的工具 比如composer,vscode,phpstudy,宝塔控制面板 composer:是php 专门管理包工具。安装看https://docs.phpcomposer.com/00-intro.html教程就行。 composer 不光是管理工具,还能自动构建 ......
laravel php 50W数据导出excel 分批分页导出
文章目录 需求 问题 解决 需求 导出50W左右的数据导excel表 问题 使用phpexcel等插件,碰到数据量大很慢,可能能花半个小时以上 数据量大查询慢 内存不足 执行超时 解决 使用原生csv导出 设置脚本超时和内存,进行加大内存,不限制超时时间 进行分页查询 public function ......
php 16个魔术方法
16个方法的简单介绍 __construct(),类的构造函数 __destruct(),类的析构函数 __call(),在对象中调用一个不可访问方法时调用 __callStatic(),用静态方式中调用一个不可访问方法时调用 __get(),获得一个类的成员变量时调用 __set(),设置一个类的 ......
php底层代码执行流程
PHP 在底层(C 语言层面)的代码执行流程可以大致分为以下几个步骤: 解析器初始化:当 PHP 服务启动时,会调用解析器(Zend Engine)的初始化函数进行初始化,包括各种全局变量的初始化,内存池的初始化。 文件读取和解析:解析器会读取并解析 PHP 文件,将其转换为语法树,并将其中的函数和 ......