-
hp4.0.0才出来的时候,我们测试发现php4isasp.dll有缓冲溢出漏洞,下面是php4isapi.c的相关源代码:static void sapi_isapi_register_server_variables(zval *track_vars_array ELS_DC SLS_DC PLS_DC){char static_variable_buf[ISAPI_SERVER_VAR_BUF_SIZE];char *variable_buf;DWORD variable_len = ISAPI_SERVER_VAR_BUF_SIZE;char *variable;char *strtok_buf = NULL;LPEXTENSION_CONTROL_BLOCK lpECB;char **p = isapi_server_v...... ......目前没有更新
-
PHP.Pirus是第一只被发现的用PHP写的病毒,它寻找扩展名为.php和.htm的文件,并插入代码去调用自己。这个病毒只能在以php为解释器的服务器上。访问一个被它感染的网页并不能感染上病毒。 种类:病毒 感染长度:718字节 病毒发现时间:2000-11-13 危害程度: 疯狂程度:低; 破坏程度:低; 传播:低 疯狂程度:  ...... ......目前没有更新
-
其实从编程的角度来讲PHP是没什么问题的,主要是使用PHP这种语言编出来的东西是否涉及安全了. PHP的运行,是靠它的语言解释器来完成的,在NT或WIN9X下也就是PHP....... ......目前没有更新
-
目前,我发现某个社区网站中的一个上传“我的照片”功能有着很大的安全隐患,因为上传程序未对上传的文件做分析,从而我可以上传一个test.php的文件,...... ......目前没有更新
-
如果你的php.ini中register_globals = On, 所有post, get, cookie, session的同名变量就会搅和在一起,可以用$HTTP_*_VARS["username"]来判断你想要的那个变量. 但是即使同名, 在php.ini中variables_order = "GPCS"也会按照优先级别来判断, 等级低的值没法冲掉等级高的所以, 如果一开始就用session_register("username")是明智的, 也可以用session_is_registered来判断变量是否已经...... ......目前没有更新
-
SQL注入式攻击是利用是指利用设计上的漏洞,在目标服务器上运行Sql命令以及进行其他方式的攻击,动态生成Sql命令时没有对用户输入的数据进行验证是Sql注入攻击得逞的主要原因。比如: 如果你的查询语句是select * from admin where username='"&user&"' and password='"&pwd&"'" 那么,如果我的用户名是:1' or '1'='1 那么,...... ......目前没有更新
-
一般配置的web服务安全起见需要屏蔽函数(php) exec,system,dl,shell_exec,passthru,popen 后面两个在win上可以不要 禁止使用fopen,fsockopen,file等函数打开远程文件,以上函数仅允许打开本地用户自己的文件 allow_url_fopen = off 屏蔽函数 disable_functions =在这里开列需要屏蔽的函数,用“,”分隔一、Web服务器安全 PHP其实不过是Web服务器的一个模块...... ......目前没有更新
-
【eNews消息】一个名为Central Command的反病毒公司发现,第一个用PHP Script语言(一种新型的CGI网络程序编写语言)编写的病毒开始感染计算机。当用户执行一个被感染了的脚本文件的时候,PHP.NewWorld病毒就会在糸统中迅速扩散,不管怎样,这个病毒只能在糸统内进行破坏,这就意味着该病毒的危害性要远小于其它类型的病毒。Central Command反病毒公司的产品经理史蒂文.萨德默说...... ......目前没有更新
-
本文作者:SuperHei文章性质:原创发布日期:2005-08-14 程序描叙 OKPHP是由www.okphp.com开发一套专业的网站管理系统,目前产品包括:Okphp CMS, Okphp BBS,Okphp BLOG。由于对变量的过滤不严密及密码认证不严,导致sql注射,xss,隐藏变量post攻击从跨权限操作。 漏洞攻击 1、SQl注射及xss “目前没有更新
-
本文作者:SuperHei文章性质:原创发布日期:2005-08-14 一、测试环境 OS: Windowsxp sp2php: php 4.3.10mysql 4.1.9apache 1.3.33 二、测试数据库结构 -- 数据库: `test`-- -- -------------------------------------------------------- -- -- 表的结构 `userinfo`--...... ......目前没有更新
共 975 ,显示 821 - 830