最近张戈博客收录出现异常,原因并不明朗。我个人猜测存在如下几个直接原因: 更换主题,折腾时带来过多错误页面或间歇性访问错误; 直接线上折腾 Nginx 缓存和缩略图,可能导致间歇性大姨妈; 新发文章瞬间被转载,甚至是整站被采集,可能导致“降权”; 百度居然开始收录动态页面,而且还在持续抓取动态页面。 对于前三个,已发生的已无法改变,要发生的也无法阻止。对于转载和采集,我也只能在 Nginx 加入 UA 黑名单和防盗链机制,略微阻碍一下了,但是实际起不到彻底禁止作用,毕竟整个天朝互联网大环境就是这样一个不好
本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途。
前言 typecho的附件其实和文章性质一样,附件也有单独的页面,也可以进行评论,附件页面的地址格式如https://zezeshe.com/attachment/1293/,1293就是附件的id,其实文章id和附件id是同一个东西,所以有的时候发布文章时id,文章id并不连贯。
ytkah最近用dedecms做会员系统,在做登录页面的时候发现登陆的时候提示本页面禁止返回,把登陆模板换回官方原来的,竟然可以登陆,那么应该是模板出错了,又看了index_do.php这个文件,这个就是登陆的处理文件,$fmdo $dopost这两个变量 为空的话,系统就会啥都不做,提示本页面禁止返回。最根本的原因就是,在模板登陆表单里面没有加上 <input type="hidden" name="fmdo" value="login"> <input type="hidden" name="dop
今天安装dedecms,配置Nginx,然后生成一键生成静态页面,然后就没有然后了,所有栏目页面都显示nginx 403 forbidden。 一般来说nginx 的 403 Forbidden errors 表示你在请求一个资源文件但是nginx不允许你查看。 403 Forbidden 只是一个HTTP状态码,像404,200一样不是技术上的错误。 哪些场景需要返回403状态码的场景? 1.网站禁止特定的用户访问所有内容,例:网站屏蔽某个ip访问。 2.访问禁止目录浏览的目录,例:设置autoinde
之所以叫做简易优化指南,是因为emlog网站程序本身并不支持多么复杂的优化手段,比如说尽管5.0.0版实现了首页的网页标题和浏览器标题(也即title)分开设置,但栏目页和作者页还是老样子网页标题和浏览器标题只能一起弄。此外还有缺少二级分类支持啦、无法单独提取置顶和带图文章啦——修改数据库之类的主意就免了吧,可以的话咱尽量只动模板,实在不行稍微改动一下程序文件就够了。
本文提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途。
WordPress 用的是 PHP 语言,禁止访客访问网站核心 PHP 文件能提高安全性。我们以 Nginx 的配置文件为例,来详细说明如何安全配置:禁用某些目录执行 PHP。
本文实例讲述了PHP页面静态化——纯静态与伪静态用法。分享给大家供大家参考,具体如下:
在一些情况下,比如某些用户损害了网站的利益,有不方便直接删除账号的,你可能就需要禁止他们登录网站,今天咱们就来介绍下wordpress如何添加禁止用户登录。
那么究竟什么是跨域,跨域又是怎么产生的,以及跨域请求的问题需要怎么解决。我们一起来了解一下这些知识。
SQL注入漏洞 风险等级:高危 漏洞描述: SQL注入漏洞产生的原因是网站应用程序在编写时未对用户提交至服务器的数据进行合法性校验,即没有进行有效地特殊字符过滤,导致网站服务器存在安全风险,这就是SQL Injection,即SQL注入漏洞。 漏洞危害: 机密数据被窃取; 核心业务数据被篡改; 网页被篡改; 数据库所在服务器被攻击从而变为傀儡主机,导致局域网(内网)被入侵。 修复建议: 在网页代码中对用户输入的数据进行严格过滤;(代码层) 部署Web应用防火墙;(设备层) 对数据库操作进行监控。(
跨域,指的是浏览器不能执行其他网站的脚本。它是由浏览器的同源策略造成的,是浏览器施加的安全限制。
来源地址:http://blog.csdn.net/eric1012/article/details/6075460
目的 防范因为主机没有加固,造成储存在开发服务器中的源代码和测试数据被黑客获取。 范围 本规范适合于开发服务器安全加固配置。 MYSQL 1. 下载位置 MySQL程序的下载,应该从MySQL官方提供的下载页面或者安全平台部第三方软件统一下载前台(建设中)下载。MySQL官网地址为: http://www.mysql.com/downloads/mysql/ MariaDB则在 https://downloads.mariadb.org/ 1.1 下载后的校验 下载的同时,需记录下官方提供的文件hash(推
前言: Omer Gil在BlackHat USA 2017 和BSides Tel-Aviv 2017 上,对Web 缓存欺骗技术这种攻击技术进行了演示,在他发布的“Web 缓存欺骗技术白皮书”中也做了详细的介绍。在特定情况下,web缓存欺骗攻击可以导致攻击者获得受害者的敏感信息。 Web缓存是指Web资源以副本的形式介于Web服务器和客户端之间,当下一个相同请求来到的时候,会根据缓存机制决定是直接使用副本响应访问请求,还是向源服务器再次发送请求。在实际应用中,web缓存十分常见,主要是Web缓存有着如下
最近我发现搜索引擎收录了很多“夏末浅笑博客”的重复页面,当然了这跟我前一段时间,将站点根目录下的Robots.txt文件删除掉有直接的关系,Robots.txt文件是一个用来告诉搜索引擎执行Robots协议的文件,我们将Robots协议写在Robots.txt文件里面,告诉搜索引擎我的网站哪些页面可以收录,哪些页面不可以收录。
本文实例讲述了PHP中常用的三种设计模式。分享给大家供大家参考,具体如下: PHP中常用的三种设计模式:单例模式、工厂模式、观察者模式 1.单例模式 为何要使用PHP单例模式? 多数人都是从单例模式的字面上的意思来理解它的用途, 认为这是对系统资源的节省, 可以避免重复实例化, 是一种”计划生育”. 而PHP每次执行完页面都是会从内存中清理掉所有的资源. 因而PHP中的单例实际每次运行都是需要重新实例化的, 这样就失去了单例重复实例化的意义了. 单单从这个方面来说, PHP的单例的确有点让各位失望.
WordPress 中页面都是默认开启批量功能的,对于一些特殊的网站,可能需要禁止所有的页面的评论功能;一个个去页面编辑页面去禁止固然可以,但是页面一多的话那就费劲了。下面提供一段代码一键关闭/禁止页面批量功能。 在主题的functions.php 文件下加入以下代码即可实现: function disable_page_comments( $posts ) { if ( is_page()) { $posts[0]->comment_status = 'disabled'; $posts[0]->ping
XSS(Cross Site Scripting),又称跨站脚本,XSS的重点不在于跨站点,而是在于脚本的执行。在WEB前端应用日益发展的今天,XSS漏洞尤其容易被开发人员忽视,最终可能造成对个人信息的泄漏。如今,仍然没有统一的方式来检测XSS漏洞,但是对于前端开发人员而言,仍是可以在某些细微处避免的,因此本文会结合笔者的学习和经验总结解决和避免的一些方案,并简要从webkit内核分析浏览器内核对于XSS避免所做的努力,了解底层基础设施对预防XSS所做的贡献。 XSS的种类和特点 此处不详细讲解XSS的一
12、Ecshop本地文件包含获取shell 1. 首先注册用户,如下图: 1. 找到我的留言,尝试上传test.php,会返回错误信息发现有文件大小限制,如下图所示: 1. 上传一句话木马test2
nginx rewrite 伪静态配置参数和使用例子 附正则使用说明 正则表达式匹配,其中: * ~ 为区分大小写匹配 * ~* 为不区分大小写匹配 * !~和!~*分别为区分大小写不匹配及不区分大小写不匹配 文件及目录匹配,其中:
目前的问题是PHP是阻塞式运行,在图片没有全部替换完成的时候是不会返回200响应,也就是浏览器是空白的等待加载状态,所以耐心一点等就可以了……
nginx rewrite 伪静态配置参数和使用例子 附正则使用说明 正则表达式匹配,其中: * ~ 为区分大小写匹配 * ~* 为不区分大小写匹配 * !~和!~*分别为区分大小写不匹配及不区分大小写不匹配 文件及目录匹配,其中: * -f和!-f用来判断是否存在文件 * -d和!-d用来判断是否存在目录 * -e和!-e用来判断是否存在文件或目录 * -x和!-x用来判断文件是否可执行 flag标记有: * last 相当于Apache里的[L]标记,表示完成rewrite * br
有些时候,当你在PHP里使用date或mktime函数时,由于时区的不同,它会显示出一些很奇怪的信息。下面是解决这个问题的方法之一。就是设置你的服务器的时区。你可以在这里找到所有支持的时区的清单。
1.时区设置 有些时候,当你在PHP里使用date或mktime函数时,由于时区的不同,它会显示出一些很奇怪的信息。下面是解决这个问题的方法之一。就是设置你的服务器的时区。你可以在这里找到所有支持的时区的清单。 1.SetEnv TZ Australia/Melbourne 2. 搜索引擎友好的301永久转向方法 为什么这是搜索引擎友好的呢?因为现在很多现代的搜索引擎都有能根据检查301永久转向来更新它现有的记录的功能。 1.Redirect 301 http://www.
若两个URL 协议,端口,host都相同,则这两个URL同源。 这个方案叫做“协议/主机/端口元组”,或者直接是 “元组”
从前面的几篇教程里面我们知道了nginx的安装和调优、负载均衡、反向代理等,这篇文档我们来介绍Nginx的N种特别实用示例
本次教程来自YanXia,转载请注明作者信息,博客地址http://www.535yx.cn,感谢
如果我们的网站有一个目录,可以上传图片,可能保不准有些别有用心的人会通过一些手段,上传php文件到这个目录下。那么这个php文件就会被apache执行,如果这个php文件里写的是恶意代码,你的服务器自然就会遭到***。毕竟开放了这样一个权限,肯定会被人上传***文件,如果被夺取了你的服务器root权限就很危险了。
靶机下载链接:https://download.vulnhub.com/billu/
首先提一下JSON这个概念,JSON是一种轻量级的数据传输格式,被广泛应用于当前Web应用中。JSON格式数据的编码和解析基本在所有主流语言中都被实现,所以现在大部分前后端分离的架构都以JSON格式进行数据的传输。
2、使用header()设置页面的最后更新日期为当天,可以强制浏览器获取最新资料。
版权声明:本文为博主原创文章,未经博主允许不得转载。 https://blog.csdn.net/u011415782/article/details/80021629
*本文原创作者:zzz66686,本文属FreeBuf原创奖励计划,未经许可禁止转载 。 PHP7.0.0的这个格式化字符串漏洞是15年12月在exploit-db上发现的。当初发现时,笔者还在北京东北方向的某信息安全公司上班,那时比较忙,并未能深入探究。 最近几天无意间又看到了这个漏洞,发现该漏洞多了一个CVE编号:CVE-2015-8617,于是深入地看了看这个漏洞,在这里对该格式化字符串漏洞进行一些简要分析,并讨论一下利用该漏洞劫持EIP的潜在方法,供各位读者参考。 1.引言 在PHP中有两个常见的
请注意,本文编写于 486 天前,最后修改于 476 天前,其中某些信息可能已经过时。
限定某个目录禁止解析php 虚拟主机配置文件添加的核心配置内容: <Directory /data/wwwroot/111.com/upload> php_admin_flag engine off //在upload目录下禁止解析php <FilesMatch *\.php(.*)> //这行以及以下两行的意思就是 //让php的文件访问受到限制,防止php文件的源代码被查看 Order allow,deny Deny
大家好,我们是红日安全-Web安全攻防小组。此项目是关于Web安全的系列文章分享,还包含一个HTB靶场供大家练习,我们给这个项目起了一个名字叫 Web安全实战 ,希望对想要学习Web安全的朋友们有所帮助。每一篇文章都是于基于漏洞简介-漏洞原理-漏洞危害-测试方法(手工测试,工具测试)-靶场测试(分为PHP靶场、JAVA靶场、Python靶场基本上三种靶场全部涵盖)-实战演练(主要选择相应CMS或者是Vulnhub进行实战演练),如果对大家有帮助请Star鼓励我们创作更好文章。如果你愿意加入我们,一起完善这个项目,欢迎通过邮件形式(sec-redclub@qq.com)联系我们。
近期,随着新版互推联盟自适应 iframe 代码的推出,调用的博友也慢慢增加了 ,这是很高兴的事情,也有博友反应调用的这个页面加载会有点慢。我来说明一下,因为这个互推联盟这个页面是纯动态页面,也就是每次刷新都要重新从数据库查询并输出,而且随着成员越来越多,这加载速度也会越来越慢,而且,对玛思阁的服务器也会造成更大的负载。这是一个需要解决的问题。 第一时间,我就想到使用静态缓存此页面的方法来解决加载过慢的问题。于是就安装了 WP-Super-Cache 这个插件,并根据实际情况设置了下,发现效果还不错!但还是
任意文件读取下载 由于一些网站的业务需要,往往需要提供文件读取或下载的一个模块,但如果没有对读取或下载做一个白名单或者限制,可能导致恶意攻击者读取下载一些敏感信息(etc/passwd 等),对服务器做下一步的进攻与威胁。
SSL certificate problem, verify that the CA cert is OK
③小结提问 1)什么是web服务? 答:提供网页浏览功能的服务。 即安装并启用web服务软件如:httpd/nginx等软件。客户端可以通过浏览器访问网站。
打开一看是个众测平台,注册的时候提示需要邀请码,而邀请码的获得方式有两种,一种是老用户邀请,另一种则需要通过平台提供的一个小游戏获取flag,然而我们也不认识老用户,没办法那只能去找flag了。
因此建立robots.txt文件是很有必要的,网站中重复的内容、页面或者404信息过多,搜索引擎蜘蛛就会认为该网站价值较低,从而降低对该网站的“印象分”,这就是我们经常听到的“降低权重”,这样网站的排名就不好了。
wordpress的默认后台地址是example.com/wp-admin/,进入后台最关键的就是要进入登录页,wordpress的登录页默认是/wp-login.php。这就意味着所有了解wordpress的人都可以打开你的后台登录页面,这样的话非常容易给某些小学生一些可乘之机。
通常大家测试的都会测试关键部分,为了有更好的测试效果,小厂会提供给你用户名密码;但是一些比较重要的企业,而这个环境却是正式环境,里面存放着一些数据不希望被你看到的时候,是不会提供给给你登录账号的。这个时候,考验你基础知识是否扎实的时刻来临了。
启用mac自带Apache & 虚拟主机配置 1. 启动Apache mac 自带 Apache,在系统的私有目录 /private/etc 下 sudo apachectl start 启动apache,浏览器中输入 http://localhost,看到 “It works” 说明启动成功 apache默认虚拟主机(网站根目录)目录:/Library/WebServer/Documents/ 2. 在apache中开启PHP 修改 httpd.conf 前先备份 -> httpd.conf.bank s
这几天做项目因为数据太多,需要对信息进行上下翻页展示,就自己写了翻页的代码 大致功能就是页面只显示几条信息,按上一页、下一页切换内容,当显示第一页时上一页和首页选项不可选,当页面加载到最后一页时下一页和尾页选项不可选
一、什么是防盗链 网站资源都有域的概念,浏览器加载一个站点时,首先加载这个站点的首页,一般是index.html或者index.php等。页面加载,如果仅仅 是加载一个index.html页面,那么该页面里面只有文本,最终浏览器只能呈现一个文本页面。丰富的多媒体信息无法在站点上面展现。 那么我们看到的各类元素丰富的网页是如何在浏览器端生成并呈现的?其实,index.html在被解析时,浏览器会识别页面源码中的 img,script等标签,标签内部一般会有src属性,src属性一般是一个绝对的URL地址或者相
翻译: 提供需要翻译的文字 -> 翻译软件 -> 返回翻译后的数据 A 控制 B 去访问 C 网页翻译原理: 方案A: 1.请求目标站点 2.获取浏览器上面的目标站点数据 3.翻译软件把数据返回 方案B: 1.提供目标网址给翻译网站 2.翻译网站代访问,得到目标网站数据 3.翻译网站返回翻译后的数据
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
实时音视频
对象存储
即时通信 IM
