php7.4接入zipkin链路追踪后开始接入php5.6,低版本的包文档缺少我直接用高版本的文档来使用,发现提示我生成的时间戳有问题,检查了下zipkin的包时间戳生成。
大年初五,根据我们SINE安全的网站安全监测平台发现,thinkphp官方6.0版本被爆出高危的网站代码漏洞,该漏洞可导致网站被植入网站木马后门文件也叫webshell,具体产生的原因是session ID参数值这里并未对其做详细的安全过滤与效验,导致可以远程修改POST数据包将session的值改为恶意的后门代码,发送到服务器后端并生成PHP文件直接生成,可导致网站被攻击,服务器被入侵,关于该thinkphp漏洞的详情,我们SINE安全来跟大家分析一下。
下面是自己学习使用git的常用的命令,还有些使用过程中碰到问题的解决办法,现整理如下。
服务从单体应用升级到微服务的时候,整个请求的链路会变多,当发生异常、或遇到接口性能瓶颈时。很难将具体的异常日志和具体的请求关联起来,也很难直接定位是哪个调用环节存在性能瓶颈。这个时候就需要一个分布式链路追踪系统来串联调用链,快速定位问题。
Throwable 是能被 throw 语句抛出的最基本的接口(interface),包含了 Error 和 Exception 。
OpenCensus 是 Google 开源的一个用来收集和追踪应用程序指标中立厂商的第三方库 授权协议:Apache 2.0 开发语言:Java PHP Python Google Go 操作系统:跨平台 开发厂商:Google 简介 OpenCensus 是 Google 开源的一个用来收集和追踪应用程序指标中立厂商的第三方库,能够减少应用的部署与构建成本,尤其适合微服务架构。 OpenCensus 有各种不同的编程语言编写的版本,包括 Go、Java、PHP、C++、Python 等等。它旨在帮助开发
最近想研究一下Bug跟踪,好在以后的项目中得到应用,花了几个晚上终于搞出来一个。Bug跟踪的软件还是比较多,我第一个见到的是Microsoft的 Raid4.5。不过这个东西我网上找不到软件也找不到资料。听说比较有名的是Bugzilla,但是安装复杂。另外还有一些国产货如BugFree,BugMan,开源我的推荐是mantis,听说比bugzilla好,也比jira好,是2000年左右开发一直到现在都在更新的项目在错误追踪系统中,Mantis绝对是个轻量级的工具,无论安装还是配置或使用,正如它自己的目标中所宣称的。但是,对一个中小型的项目来言,功能够用。
迁移工具内置通过配置值,使用不同的数据库驱动,执行不同的sql组成,达到创建相同结构的表的需求
今天无意间查询了一下友情链接,发现了俺的反链有部分被加上了“nofollow”属性,查了下资料: ....它的出现为网站管理员提供了一种方式,即告诉搜索引擎"不要追踪此网页上的链接"或"不要追踪此特定链接。这个标签的意义是告诉搜索引擎这个链接不是经过作者自己编辑的,所以这个链接不是一个信任票。 对于您的友情链接中出现的“nofollow”标签,一定要引起重视,因为“nofollow”标签的意义是“不信任”。可能的原因是: a.故意设置“nofollow”标签。这样无论友链有多少,无论对方的网站是否出现问题
在配置本地 PHP 开发环境时,除非是在 Windows 下,否则我都是偏向于 Nginx + PHP-FPM, 即使 Mac 下已经有了自带的 Apache+PHP 环境,依然如此。一方面是因为 Mac 自带的 PHP 版本不够新(5.6.x),另一方面,Nginx + PHP-FPM 更接近于我的生产服务器环境,而且也方便用 Homebrew 来管理版本和扩展。 在 Mac 下开发 Laravel, 官方提供了 valet, 可以方便地把子目录映射为虚拟主机,但我在使用的时候,遇到一些问题: 真实错误信
目前而言,几乎所有的编程语言都是使用英文来表示,在英文中,使用缩写很普遍,比如URL(Uniform Resource Locator)能够很简单高效地向他人阐述要表达的概念。
编辑器可以给我们提供以下必不可少的优点。 语法高亮 语法折叠 代码补全 函数断点 批量注释 函数跳转 变量追踪
Metinfo CMS系统被爆出网站存在漏洞,可上传任意文件到网站根目录下,从而使攻击者可以轻易的获取网站的webshell权限,对网站进行篡改与攻击,目前该网站漏洞影响范围是Metinfo 6.2.0最新版本,以及以前的所有Metinfo版本都可以利用,关于该Metinfo漏洞的详情我们来详细的分析:
OpenTelemetry 非常重视用户反馈。改进产品的最好方法之一是从产品用户那里获得直接反馈。这通常是非常困难的,因为你必须找到一个愿意并且能够在新的实现周期中提供反馈的新用户。在去年的第四季度,OpenTelemetry PHP[1]团队遵循了 Ted Young 建议的流程,以获得一些反馈并推动开发过程。
我们继续来说一下dedecms最新的几个漏洞,今天是一个前台任意用户登录的漏洞,该漏洞结合上一次提到的前台任意密码修改漏洞可以直接修改管理员的密码,剩下的就是找后台了,废话不多说,我们开始吧
html/javascript/dom元素使用,主要是为了挖掘xss漏洞,jquery 主要写一些涉及到CSRF脚本使用的或者DOM型XSS,JSON劫持等
它是一个在线商业协作和项目管理的平台,主要功能包括:项目管理、里程碑管理、任务、报表、事件、博客、论坛、书签、Wiki、即时消息等。
2020年刚开始,苹果CMS被爆出数据库代码执行漏洞,大量的电影网站被挂马,尤其电影的页面被篡改植入了恶意代码,数据库中的VOD表里的d_name被全部修改,导致网站打开后直接跳转到S站或者弹窗广告,目前该maccms漏洞受影响的苹果系统版本是V8,V10,很多客户网站被反复篡改,很无奈,通过朋友介绍找到我们SINE安全寻求技术上支持,防止网站被挂马。根据客户的反应,服务器采用的是linux centos系统,苹果CMS版本是最新的V10版本,我们立即成立网站安全应急响应处理,帮助客户解决网站被攻击的问题。
除了使用 JS 追踪用户,现在有人提出了还可以使用 CSS进行网页追踪和分析,译者认为,这种方式更为优雅,更为简洁,且不好屏蔽,值得尝试一波。 我们可以用它来做什么 我们可以收集关于用户的一些基本信息,例如屏幕分辨率(当浏览器最大化时)以及用户使用的什么浏览器(引擎)。 此外,我们可以监测用户是否点击某个链接或鼠标悬停在某个元素上,用来追踪用户悬停的链接,甚至可以追踪用户如何移动鼠标(在页面使用不可见的字段),然而,使用目前我的方法只能追踪用户的第一次点击或悬停,我相信,修改我的方法最终可以实现追踪用户
英文:jbtronics 译文:枫上雾棋 https://segmentfault.com/a/1190000012901505 📷 除了使用 JS 追踪用户,现在有人提出了还可以使用 CSS 进行网页追踪和分析,译者认为,这种方式更为 优雅,更为 简洁,且 不好屏蔽,值得尝试一波,了解更多,可查看 仓库地址(https://github.com/jbtronics/CrookedStyleSheets) 和 demo(http://crookedss.bplaced.net/) 我们可以用它来做什么
执行填充可以使用seed命令。例如,要执行UsersTableSeeder填充文件,可以执行如下命令:
作者复现的是Axublog1.1.0版本下对用户输入过滤不严导致login.php页面存在SQL注入漏洞,攻击者可以利用漏洞进行SQL注入直接登录网站后台。 使用’进行闭合and1=1#,密码随便填写即可
Bleeping Computer 网站消息,一个安装了超过 9 万次的 WordPress 插件中存在一个严重的安全漏洞,威胁攻击者能够利用该漏洞获得远程代码执行权限,从而完全控制有漏洞的网站(该插件名为 "Backup Migration",可帮助管理员自动将网站备份到本地存储或 Google Drive 账户上)。
在smarty模板中,将“;”(半角分号)替换为“/”。在看这段代码时,第一反应是用replace替代regex_replace,效率会高些。于是动手改了一行代码:
SkyWalking 是针对分布式系统的应用性能监控,天生吻合微服务、云原生和面向容器的分布式系统架构。PHP应用也可接入,但需以插件方式接入,偶尔也会有一些坑。
上次我们分析了一下zzcms 8.2版本的一些漏洞,但是很快8.3版本就推出更新了,但是在更新不久,就有新的漏洞爆了出来,那就跟随大师傅们的脚步学习一下。有关8.2版本的分析在我之前发的文章.
挖掘技巧: -语句监控-数据库SQL监控排查可利用语句定向分析 -功能追踪-功能点文件SQL执行代码函数调用链追踪 -正则搜索-(update|select|insert|delete|).?where.=
ThinkCMF是一款基于PHP+MYSQL开发的中文内容管理框架,底层采用ThinkPHP3.2.3构建。ThinkCMF提出灵活的应用机制,框架自身提供基础的管理功能,而开发者可以根据自身的需求以应用的形式进行扩展。
笔者所在公司技术栈为 Golang + PHP,目前部分项目已经逐步转 Go 语言重构,部分 PHP 业务短时间无法用 Go 重写。
url如果以/为结尾 比如index.php/admin/,不会自动访问默认控制器、方法index,而是报错
Tracing 是在上世纪 90 年代就已出现的技术,但真正让该领域流行起来的还是源于 Google 的一篇 Dapper 论文。分布式追踪系统发展很快,种类繁多,但无论哪种组件,其核心步骤一般有 3 步:代码埋点、数据存储和查询展示,如下图所示为链路追踪组件的组成。
前面几篇文章提到了微服务相关系统的使用与搭建,在微服务架构下的问题也比较突出。正常系统下我们的每个请求都会在同一个系统中进行输出。但是在微服务架构中一个请求可能设置一到多个服务进行处理。服务之间相互依赖,服务之间形成一个调用链。如果调用链之间的某个服务出现故障那么整个调用链都将会受到影响。
前面几篇文章提到了微服务相关系统的使用与搭建,在微服务架构下的问题也比较突出。正常系统下我们的每个请求都会在同一个系统中进行输出。 但是在微服务架构中一个请求可能设置一到多个服务进行处理。服务之间相互依赖,服务之间形成一个调用链。如果调用链之间的某个服务出现故障那么整个调用链都将会受到影响。
在建立PHP开发调试环境时,经常会遇到xdebug无法成功安装的问题,其实主要原因有两点:
前面我们介绍了Skywalking php如何安装的,这篇文章我们来分析Skywalking php是如何实现拦截的。
Go语言因为跨平台且易上手,越来越受到攻击者的青睐。2019年年初[1],一个由Go语言编写的新型恶意软件家族问世,称为GoBrut(又名StealthWorker),目的是检测目标站点的服务并对其进行爆破。GoBrut行为低调但野心勃勃,每次均攻击众多Web服务器。7个月之内,GoBrut的版本号不断更新,从初版跃升至目前的3.0X,已至少出现过10个版本号,迭代稳定,感染的平台也从Windows扩展到Linux。这一切与当前脆弱的Web安全现状不无关系。
昨天领导告诉我,要安装Horizon。但是我们使用的是lumen,官方的Horizon并不支持lumen。所以又去找第三方,结果发现已经八个月没有更新了。无奈尝试自己维护。发现一堆坑。根本填不完。今天早上想着去packagist去淘淘。还真让我发现了一个正在维护的: horizon-lumen。
随着代码安全的普及,越来越多的开发人员知道了如何防御sqli、xss等与语言无关的漏洞,但是对于和开发语言本身相关的一些漏洞和缺陷却知之甚少,于是这些点也就是我们在Code audit的时候的重点关注点。本文旨在总结一些在PHP代码中经常造成问题的点,也是我们在审计的时候的关注重点。(PS:本文也只是简单的列出问题,至于造成问题的底层原因未做详细解释,有兴趣的看官可以自行GOOGLE或者看看底层C代码。知其然,且知其所以然)
Apache是非常流行的Web服务器,近几年虽然Nginx大有取代之势,但Apache仍占有不少的使用量。本文介绍生产中需要注意的一些安全配置,帮助我们搭建更稳定的Web服务。
这个软件本是Facebook内部的一个应用工具,2009年3月份开源,为PHP的性能监测提供了很好的工具。官方的介绍中提到:
如果没有什么工具, 我们能做的是在服务器上找日志,做分析;如果机器比较多,还得一台一台定位和分析,效率低而且难度较高。
很久没有更新干货了,作为一个目前还在役的 CTF 选手,肯定要讲解一些有意思的赛题啊,一方面是自我的总结,一方面也是给大家一点学习思路,如何去分析一道赛题,我不会去重复的解读一些基础知识,更多的基础知识请参看 ctf-wiki 上面的内容,目前我是主要负责维护 Web 和 Misc 部分内容。本文也会在后续同步更新到 ctf-wiki 上,当然也欢迎大家一起来 Contribute 。
其实这个漏洞出来有一段时间了,不算是一个影响特别大的漏洞,毕竟dede是一个内容管理系统,用户这一块本来就基本没有用。该漏洞的精髓就是一个弱类型的比较:'0.0'=='0'
如果你正在使用 Apache Web 服务器,并且迫切需要一些可观测性工具来监控你的 Web 服务器,那么OpenTelemetry Apache 模块[1]是你的合适选择:它能够追踪对服务器的传入请求,并且它将捕获这种传入请求中涉及的许多模块(包括 mod_proxy)的响应时间。这样你就可以得到每个模块的时间消耗。本文展示了 Apache OpenTelemetry 模块的监控功能,以及使用该模块的快速指南。
随着Web应用攻击手段变得复杂,基于请求特征的防护手段,已经不能满足企业安全防护需求。在2012年的时候,Gartner引入了“Runtime application self-protection”一词,简称为RASP,属于一种新型应用安全保护技术,它将防护功能“ 注入”到应用程序中,与应用程序融为一体,使应用程序具备自我防护能力,当应用程序遭受到实际攻击伤害时,能实时检测和阻断安全攻击,而不需要进行人工干预。
Google 已经把页面加载速度纳入了页面排名影响因素,所以现在建立一个对搜索引擎友好的站点,除了要进行 SEO (页面优化和获取外链即)之外,还要考虑选择一个运行稳定而且速度不错的主机,以及网站程序的优化。
blueCMS介绍 个人认为,作为一个要入门代码审计的人,审计流程应该从简单到困难,逐步提升。因此我建议大家的审计流程为——DVWA——blueCMS——其他小众CMS——框架。同时做总结,搞清楚漏洞原理。好,进入正文! blueCMS是一款小众的CMS,在2012年左右的时候,就有人发布其相关漏洞。但是,我个人感觉用blueCMS进行新手实战代码审计入门,是一个非常不错的选择。而我在进行blueCMS审计之前,网上也搜索了blueCMS的审计文章。那些文章可能都是你转过来,我转过去的,一般都是文章中只提到
领取专属 10元无门槛券
手把手带您无忧上云