网站挂马

1月13日 · 2015年

PHP彩蛋还是漏洞?expose_php彩蛋的触发和屏蔽方法

5185 4
最近在折腾网站XSS漏洞修复的时候,当我把XSS漏洞和谐成功之后,360扫描送来了一个"彩蛋": 本以为又是360误报,结果点击看了下,还真能打开PHPinfo:PHP彩蛋我也是第一次听说,貌似老一辈的程序员们都知道,因为PHP是由黑客语言发展而来,所以各方面都透露着放荡不羁的极客精神!一、如何触发PHP彩蛋?我们只要在运行PHP的服务器上,在域名后面输入...
1月12日 · 2015年

PHP跨站脚本攻击(XSS)漏洞修复思路(二)

1088 8
上一篇文章《PHP跨站脚本攻击(XSS)漏洞修复方法(一)》写到了360修复XSS漏洞的插件并不完善的问题,那么这篇文章就来分享一下自己如何写代码修补这个漏洞。从上一篇文章看出,部署了360出的XSS修复插件之后,至少还存在iframe无法过滤缺憾,是否还有其他纰漏目前还不得而知。分析一下中国博客联盟和张戈博客已开放的数据入口:①、中国博客联盟,主要有搜索、后台博客提交等...
1月11日 · 2015年

PHP跨站脚本攻击(XSS)漏洞修复方法(一)

13805 17
今天又做了一回奥特曼(out man),居然才发现360的综合搜索变成了好搜!前几天,其实看到过一次好搜,但是以为又是DNS劫持出现的流氓搜索。今天细看了下,居然是360综合搜索改头换面后的独立品牌:好搜(怎么读都有点山寨)。一、惊现漏洞好了,暂且不研究这名称到底咋样,顺手site了一下我2个网站:张戈博客和中国博客联盟。结果,site中国博客联盟的结果吓我一跳:...
5月8日 · 2014年

张戈博客惊现WordPress恶意代码,各位WP博主要注意下了!

4502 53
不经意看到了哼哼猪的 《博主们注意了!赶快检查下你的WordPress 里面是否包含恶意代码》一文,就好奇的检查了一下,结果。。。尼玛居然还真中招了!难怪老是觉得WP的后台卡卡的,一点都不流畅!而且后台提交文章经常会出现502或503的无法打开页面!估计就是这玩意在作祟!下面内容摘自原文:代码太长放到下面,先说说此段代码的来源和危害:此段代码来源一般是在WordPress 主题...