利用HTTP-only Cookie缓解XSS攻击
在Web安全领域,跨站脚本攻击时最为常见的一种攻击形式,也是长久以来的一个老大难问题,而本文将向读者介绍的是一种用以缓解这种压力的技术,即HTTP-only cookie。 我们首先对HTTP-only cookie和跨站脚本攻击做了简单的解释,然后详细说明了如何利用HTTP-only cookie来保护...
浅谈从PHP内核层面防范PHP WebShell
By 咖啡(k4kup8_0x4154_gmail.com) [目录] 1. 简述 2. php的执行流程 3. php的生命周期 4. php源代码分析以及功能性代码的实现 5. 总结 6. 参考资料 一、简述 依据php特定运行环境、php某些特定函数缺陷、php普通函数可以实现变化多端的php webshell,php版本的scanwebshell...
Windows 无法删除的文件/文件夹 建立与删除方法
Windows 下不能够以下面这些字样来命名文件/文件夹,包括:aux,com1com2prn con和nul等,但是通过cmd下是可以创建此类文件夹的,然而IIS可以中这种几文件是可以解析成功,所以又是一种后门思路,但和建立dir...\目录不同的是,如果文件有毒,会被杀! 使用copy命令即可实现...
IIS下反向代理的操作,为网站建立保护伞!
我们知道ISAPI_Rewrite是一个强大的基于正则表达式的URL处理引擎。 它非常类似于Apache's mod_Rewrite,但它是专为IIS设计的。 ISAPI_Rewrite有两个版本: ISAPI_Rewrite Full与ISAPI_Rewrite Lite。 ISAPI_Rewrite Lite是免费版本,但不支持反向代理功能。 ISAPI_Rewrite F...
ASPX木马跨网站目录的临时解决方法
1、aspx 木马文件可以在asp.net空间中实现读取进程、iis信息、跨站、执行cmd命令。 解决方法 1、对于每个网站建立一个用户、并将用户放入guest组,给站点写入、读取的权限。并在iis上允许匿名访问。 2、 system.web identity impersonate=true / /system.web 将以上代码复制...
基础知识学习之Web安全百问百答
1、什么叫Web应用系统? 答:Web应用系统就是利用各种动态Web技术开发的,基于B/S( 浏览器 / 服务器 )模式的事务处理系统。用户直接面对的是客户端浏览器,使用Web应用系统时,用户通过浏览器发出的请求,其之后的事务逻辑处理和数据的逻辑运算由服务器与 数据库 系统共同完...
webIPS防止扫描软件扫描网站
以前发过一个类似的,支持ASP和PHP版本的(传送门:http://bbs.honker.net/thread-43541-1-1.html oldjun原创的,)今天我结合一个客户门户站安全维护时需求,防止JSKY扫描WEB应用程序的方法,暂取名为webips ,以下代码经测试,主流JSKY、小钢炮,明鉴,MatriXay,WebRavor、...
Apache下禁止特定目录执行PHP提高安全性
之前在博文中说过在PHP安全中保护可写目录下的文件不允许被访问到的重要性,还提出了改名文件夹的方式来保护该目录。 如果用的是Apache服务器,还可以通过配置来禁止该目录下的PHP文件的访问,有两种方式: 方式一:.htaccess控制,适用于没有服务器管理权限。在可写文件夹...
upfile.asp上传漏洞的修补方法(3)
作用:下载文件。 函数名: DownFile(FileName) FileName ******************************************************* Sub DownFile(FileName) fname = server.MapPath(fname) filename=split(fname,\) Set objAdoStream=Server.createObject(ADODB.Stream) objAdoStream.Typ...
upfile.asp上传漏洞的修补方法(2)
作 用: 上传文件扩展名检测 函数名: CheckFileExt 参 数: sFileExt 上传文件夹的后缀 strExt 允许或禁止上传文件夹的后缀,多个以|分隔 blnAllow 是允许还是禁止上传 strExt 中指定的后缀 返回值: 合法文件返回 True ,否则返回False ***************************************...
upfile.asp上传漏洞的修补方法(1)
修补upfile.asp上传漏洞 ASP文件相关的一些函数。有以下几个: 1. 得到文件扩展名 2. ASP上传文件漏洞检测 3. 格式化显示文件大小 4. asp检测上传图片是否为真实图片 5. 上传文件扩展名检测 6. 取得文件对应的图标 7. 下载文件等相关函数 程序代码: % ********************...
无组件上传漏洞的修补方法
sub upload_0()set upload=new UpFile_Class 建立上传对象 upload.GetDate (int(Forum_Setting(56))*1024) 取得上传数据,不限大小 iCount=0 if upload.err 0 then select case upload.err case 1 Response.Write 请先选择你要上传的文件 [ a href=# onclick=history.go(-1)...