Apache HTTPD 支持一个文件拥有多个后缀,并为不同后缀执行不同的指令。比如,如下配置文件:AddType text/html .html
AddLanguage zh-CN .cn
其给`.html`后缀增加了media-type,值为`text/html`;给`.cn`后缀增加了语言,值为`zh-CN`。此时,如果用户请求文件`index.cn.html`,他将返回一个中文的html页面。以上就是Apache多后缀的特性。如果运维人员给`.php`后缀增加了处理器:
AddHandler application/x-httpd-php .php
那么,在有多个后缀的情况下,只要一个文件含有`.php`后缀的文件即将被识别成PHP文件,没必要是最后一个后缀。利用这个特性,将会造成一个可以绕过上传白名单的解析漏洞。 阅读更多
这段时间对微信小程序很感兴趣,自己也加入了微信小程序开发的浪潮中来。虽然自己还没写出什么像模像样的小程序来,但作为一个搞渗透的,当然还是喜欢搞点事情来玩。因为自己是以python作为主要的编程语言,所以关注的公众号里看到了 码题达人 的小程序,里面目前都是关于python的题目,难度也还适中。虽然这篇文章是关于如何对这个小程序进行渗透测试,并最终达到刷分的目的。但由于本身也挺不错的,所以向大家推荐一波。 阅读更多
前几天室友跟我说,总是有人在挤他的CDTU账号,感觉特别不爽。所以自己就写了一个专门防抢占校园网的python脚本,当运行这个脚本的时候,别人是无法将你挤下线的。
PS:CDTU是我们校园网的简称
首先,我直接把我写的源码放上来。
这是前段时间我参加的一个比赛,虽说阿里云的比赛,但其实这个比赛的主办方并非阿里云,而是慧科培优主办的,阿里云则是提供各种参赛资源,宣传阿里云的产品(当然这只是我个人看法而已)。所以这个比赛的网页前端和后端可能都是由他们程序猿做的,也是放在他们的域名下面的http://www.hpeiyou.com/aliActivityNew.html
因为当时我很无力吐槽,如果是阿里云做的,怎么会连https都不部署。 阅读更多
前几天刚在西安考完了PTE的考试,在四叶草十天的学习感觉也是收获满满。首先,先总结一下考试的内容。题型分为选择题和实操题两部分。满分为100分,选择题有20道,共20分,主要考查一下安全方面的基础知识。 阅读更多
在渗透测试中,经常会遇到某些框架开启debug模式导致账号密码或者key泄露的情况。所以对常见的开发框架debug模式进行汇总。
阅读更多C#学习中遇到的一些问题以及记录。
这算是很早也很经典的一个漏洞了,“破壳”是一个严重漏洞的别名,在Red Hat、CentOS、Ubuntu 、Fedora 、Amazon Linux 、OS X 10.10中均拥有存在破壳漏洞的Bash版本,同时由于Bash在各主流操作系统的广泛应用,此漏洞的影响范围包括但不限于大多数应用Bash的Unix、Linux、Mac OS X,而针对这些操作系统管理下的数据均存在高危威胁。
“破壳”是Bash(GNU Bourne Again Shell)中出现的允许攻击者通过环境变量执行任意命令的漏洞。 阅读更多