最近在折腾网站XSS漏洞修复的时候,当我把XSS漏洞和谐成功之后,360扫描送来了一个"彩蛋": 本以为又是360误报,结果点击看了下,还真能打开PHPinfo:PHP彩蛋我也是第一次听说,貌似老一辈的程序员们都知道,因为PHP是由黑客语言发展而来,所以各方面都透露着放荡不羁的极客精神!一、如何触发PHP彩蛋?我们只要在运行PHP的服务器上,在域名后面输入...
上一篇文章《PHP跨站脚本攻击(XSS)漏洞修复方法(一)》写到了360修复XSS漏洞的插件并不完善的问题,那么这篇文章就来分享一下自己如何写代码修补这个漏洞。从上一篇文章看出,部署了360出的XSS修复插件之后,至少还存在iframe无法过滤缺憾,是否还有其他纰漏目前还不得而知。分析一下中国博客联盟和张戈博客已开放的数据入口:①、中国博客联盟,主要有搜索、后台博客提交等...
今天又做了一回奥特曼(out man),居然才发现360的综合搜索变成了好搜!前几天,其实看到过一次好搜,但是以为又是DNS劫持出现的流氓搜索。今天细看了下,居然是360综合搜索改头换面后的独立品牌:好搜(怎么读都有点山寨)。一、惊现漏洞好了,暂且不研究这名称到底咋样,顺手site了一下我2个网站:张戈博客和中国博客联盟。结果,site中国博客联盟的结果吓我一跳:...
在360网站安全检测时,经常报出“页面异常导致本地路径泄漏”的漏洞,尤其是新安装的Wordpress网站,那是必然会报。。。这些漏洞,之前玛思阁就已经手动修复了,但是Wordpress升级后都被覆盖还原了,这不,又爆了8个漏洞!虽然,这些漏洞可能不会有什么危害,但是看起来就不舒服,强迫症患者是不能容忍的。再说,看了下这些漏洞会暴露主机的绝对路径,这可不是好事,所以还是手动修...
