代码审计-PHP反序列化漏洞

解决DEDECMS自由列表只能生成50页的问题

问题描述:自由列表只能生成50页修改/dede/makehtml_freelist_action.php中的31行:if(empty($maxpagesize))$maxpagesize=50;改成:if
农民也会写代码·2025-07-24 06:56

织梦dedecms还原数据后数据全部是空的

解决办法:找到data/common.inc.php文件,把里面的表前缀改为你还原数据库的表前缀。2、还有一种情况是因为数据是在php版本为7以上备份的,我
农民也会写代码·2025-07-24 06:25

p116 2018.6.23 星期六 天气晴

注重细节把昨天的所有的作业给批出来了,那简直没办法看了,漏洞百出,真想揪起来揍一顿。语文作业写的字都写一半,剩下的就没有下文了,我看就是写作业时不细心,着急了。
宇哲妈妈·2025-07-24 06:09

使用php实现导出pdf(mpdf扩展)

安装扩展composerrequirempdf/mpdf使用true,'autoLangToFont'=>true,解决中文乱码问题$mpdf=new\Mpdf\Mpdf(['mode'=>'utf-8',//使用UTF-8编码'format'=>'A4-L',//设置纸张格式为A4横向'margin_left'=>15,//设置左边距为15mm'margin_right'=>15,//设置右边距
if时光重来·2025-07-24 04:11

php、go、python后端接口签名实现

1.php实现/**生成签名,$args为请求参数,$key为私钥*/functionmakeSignature($args,$key){if(isset($args['sign'])){$oldSign
奇华智能·2025-07-23 23:11

浏览器解码过程分析

浏览器解码过程分析前言在学习xss漏洞的过程中我发现一个问题,当我想绕过过滤机制时,可以采用编码的方式进行绕过这种方法,但是并不是每一种编码格式都能绕过,需要不停的尝试才行,这样过于浪费时间。
·2025-07-23 23:41

php中的hmac,JavaScript通过CryptoJS等效实现php中hash_hmac函数加密raw_output配置

在一个项目中,客户需要从前端签名,加密插件使用的cryptoJS,使用与后端一样的签名流程(HmacSHA1后Base64.encode)发现并不能通过签名认证,签名校验方后端php代码中使用hash_hmac
好想不取名·2025-07-23 23:10

Xss漏洞总结

一、XSS漏洞简介XSS(Cross-SiteScripting,跨站脚本攻击)是一种常见的Web前端安全漏洞,其主要危害对象是网站的访问用户。
·2025-07-23 23:09

YFCMF-TP6 改后台模块路径方法

1、创建表单,表民phpthinkcrud-tbeian_dignji-u12、app路径controllerlang/zh-cnmodelvalidateview以及public/assets/js/
huluang·2025-07-23 23:39

原型链污染

原型链污染(PrototypePollution)是一种针对JavaScript应用的安全漏洞,攻击者通过操纵对象的原型链,向基础对象(如Object.prototype)注入恶意属性,从而影响整个应用程序的行为
江湖没什么好的·2025-07-23 23:07

软件测试面试题:SQL注入漏洞产生的原因?如何防止?

SQL注入漏洞产生的原因?如何防止?SQL注入产生的原因:程序开发过程中不注意规范书写sql语句和对特殊字符进行过滤,导致客户端可以通过全局变量POST和GET提交一些sql语句正常执行。
·2025-07-23 22:02

Day1学习心得||Leetcode704,27,977

Part1数组的一些注意点第一天学习的内容是数组,基础的内容就按下不表,浅记一下补上的漏洞1.数组的元素不能删除,只能覆盖乍一看可能比较奇怪,但是仔细思考一下很简单。
·2025-07-23 20:22

php(上传文件)

1、php文件上传配置指令(1)file_uploads=On/off(是否可以接受文件上传)(2)max_input_time=60在提示错误之前解析输入所花费的最长时间,以秒为单位,如果经常需要传输大文件
·2025-07-23 20:50

小白带你部署LNMP分布式部署

nginx2、网络源3、稍作优化4、修改配置文件vim/usr/local/nginx/conf/nginx.conf5、书写测试页面五、部署应用前言LNMP平台指的是将Linux、Nginx、MySQL和PHP
刘俊涛liu·2025-07-23 20:19

LINUX 手动搭建wordpress

操作场景WordPress是一款使用PHP语言开发的博客平台,你可使用通过WordPress搭建属于个人的博客平台。
技术栈壳·2025-07-23 19:12

ubuntu20.04.2上安装wordpress+nginx+php+fpm+mysql

1.更新安装源sudoapt-getupdate2.安装nginxsudoaptinstallnginx检查状态servicenginxstatus●nginx.service-AhighperformancewebserverandareverseproxyserverLoaded:loaded(/lib/systemd/system/nginx.service;enabled;vendorpr
crayon-shin-chan·2025-07-23 18:07

使用C#对象将WinRiver项目文件进行复杂的XML序列化和反序列化实例详解

使用C#对象将WinRiver项目文件进行XML序列化和反序列化的实例详解一、序列化和反序列化的目的二、WinRiver的项目MMT文件架构示例三、以WinRiver为对象进行C#代码编程3.1声明WinRiver
中游鱼·2025-07-23 17:34

我竟然开始看大部头…

主要是以下以个方面:对自我意识偏差的认知,对思维漏洞的认知。
姚Fay·2025-07-23 16:02

Nmap --- Ingreslock后门漏洞

目的:利用telnet连接目标主机的1524端口,直接获取root权限;原理:Ingreslock后门程序运行在1524端口,连接到1524端口就能直接获得root权限,经常用于入侵一个暴露的服务器;步骤:nmap-sV192.168.1.3,扫描目标主机端口,发现目标主机开启了1524端口;telnet192.168.1.31524连接目标主机并直接成功,在渗透进的主机中,输入whoami,查看
唯师默蓝·2025-07-23 15:53

tp5 model 使用

在thinkphp3.X的时候我们经常使用M,D方法实例化一个model,然后通过model对数据进行增删改查操作。
·2025-07-23 12:33

PHP continue与break区别

Modelwhile($foo){<--------------------┐continue;---goesbackhere--┘break;-----jumpshere----┐}|<--------------------┘Example$i=10;while(--$i){if($i==8){continue;}if($i==5){break;}echo$i."\n";}输出976
苏康申·2025-07-23 10:15

阿里云态势感知和安骑士有什么区别?

阿里云态势感知和安骑士均是阿里云云盾安全产品,态势感知属于安全管理类的产品,安骑士数据服务器安全类产品,阿里云百科网来详细说下阿里云态势感知和安骑士之间的区别:态势感知和安骑士的区别简单来说,安骑士是检测云服务器漏洞
阿腾云·2025-07-23 09:00

PHP与Web页面交互:从基础表单到AJAX实战

文章目录PHP与Web页面交互:从基础到高级实践1.引言2.基础表单处理2.1HTML表单与PHP交互基础2.2GET与POST方法比较3.高级交互技术3.1AJAX与PHP交互3.2使用FetchAPI
独立开发者阿乐·2025-07-23 08:05

深入认识二进制序列化:从原理到陷阱的生存指南

引言:一次由二进制序列化引发的生产事故深夜的警报声打破了团队的平静——服务端发布补丁后,客户端突然爆发大规模反序列化异常。尽管接口定义“看似未变”,回滚版本却奇迹般恢复了系统。
·2025-07-23 08:04

【正常配置了beast扩展,phpinfo信息也显示了,但是就是不运行】

正常配置了beast扩展,phpinfo信息也显示了,但是就是不运行场景原因解决排查过程扩展场景项目中使用到了beast进行源码保护,指定类存在,但是报错信息提示类找不到,beast扩展添加到了正在运行的
xuefeiniao·2025-07-23 07:56

基于Web的安全漏洞分析与修复平台设计与实现

基于Web的安全漏洞分析与修复平台设计与实现摘要随着信息化进程的加快,Web系统和企业IT架构愈发复杂,安全漏洞频发已成为影响系统安全运行的主要因素。
计算机毕业设计指导·2025-07-23 05:18

超简单linux上部署Apache

特点:跨平台(Linux、Windows、macOS)模块化设计(按需加载功能)支持多语言扩展(PHP、Python等)高稳定性和安全性2.核心架构与工作原理多进程模型(MPM)Prefork:多进程模式
悟空骑猪看电影·2025-07-23 04:41

nodejs关于后端服务开发的探究

前提在当前的环境中关于webserver的主流开发基本上都是java、php之类的,其中javaspring系列基本上占了大头,而python之流也在奋起直追,但别忘了nodejs也是可以做这个服务的,
墨水白云·2025-07-23 04:09

Spring Cloud Gateway远程代码执行CVE-2022-22947漏洞分析及复现

0x01漏洞描述SpringCloudGateway是基于SpringFramework和SpringBoot构建的API网关,它旨在为微服务架构提供一种简单、有效、统一的API路由管理方式。
长白山攻防实验室·2025-07-22 22:37

云原生安全工具:数字基础设施的免疫长城

⚡运维团队的三重核灾难1.容器漏洞的连锁爆炸某金融平台因基础镜像包含未修复的Log4j漏洞,黑客横向穿透182个Pod,导致2.3亿用户数据泄露(CNCF2024安全报告)。
花海如潮淹·2025-07-22 21:22

[微信域名检测]基于微信域名检测api的PHP随机跳转

php$url="https://api.weixin139.com/weixin/domain/auto_check_list?
阿乐LeoChen·2025-07-22 20:19

从0到1构建数据库安全审计系统:设计、实现与实战

引言2024年某金融机构发生数据泄露事件,内部审计日志显示,某运维人员在非工作时间执行了SELECT*FROMcustomer_info的全表查询,但当时未触发任何告警——这并非技术漏洞,而是数据库安全审计系统的
小张在编程·2025-07-22 18:03

python实现自动化sql布尔盲注(二分查找)

以靶场sqli为例:importrequests#目标URLurl="http://127.0.0.1/sqli/Less-8/index.php"#要推断的数据库信息(例如:数据库名)database_name
海星船长丶·2025-07-22 14:11

社科院正式学堂朱民可靠吗?St-balance风电投资不正规不合法无法出金,请大家远离

认清骗局不难,任何一个骗局都是有漏洞的,只要多问自己几个为什么?多去查证一下,骗局的套路就大白于天下!今天讲一下诈骗平台,教教大家怎么来识破它们!希望大家举一反三!
天龙咨询·2025-07-22 14:28

cm3d2 & com3d2

Hgamewikicom3d2分区CustomMaid3D2-HgamesWiki(anime-sharing.com)https://wiki.anime-sharing.com/hgames/index.php
HECUgauss·2025-07-22 13:35

【SRC漏洞】第一章 新手入门

提示:企业SRC超级简单目录浅谈企业SRC浅谈edu浅谈CNVDsrc信息收众测各个站点的信息收集子域名信息收集Google语法浅谈企业SRC应聘工作公司需要最重要的还是有没有时间,没有想的那么难是企业提供的平台,给于一定的奖励企业现状src中信息收集占80%,手法技能占20%挖洞和信息收集可以并行小程序(微信搜索,各种社交信息工具去搜)----》第三方工具—》主域名—》子域名—》icp—》信息收
网络小安·2025-07-22 13:04

【Java代码审计 | 第五篇】XSS漏洞成因+实战案例

文章目录XSS漏洞成因1、直接输出用户输入2、在JSP中使用EL表达式输出用户输入3、在Thymeleaf模板中输出用户输入4、在JavaScript中嵌入用户输入实战案例案例1案例2案例3XSSXSS
秋说·2025-07-22 13:03

企业SRC漏铜挖掘思路

目录src众测平台信息收集一,先看股权穿透图找到公司的名称二,这些公司对应的是一级域名三,用icp备案进行查找域名域名资产开始挖(抓包拦截)抓包分析js逆向src众测平台国内漏洞平台https://www.anquanke.com
网络小安·2025-07-22 13:03

转行网络安全门槛高吗?网络安全零基础入门到精通,收藏这篇就够了

网络安全行业概况网络安全涵盖了从基础的脚本编写到高级的漏洞研究等多个层面。该领域包括但不限于:渗透测试、漏洞评估、恶意软件分析、入侵检测、信息安全管理等。
leah126·2025-07-22 12:23

漏洞扫描 + 渗透测试:双轮驱动筑牢网络安全防线

漏洞扫描通过自动化工具快速发现潜在风险,渗透测试则以攻击者视角验证漏洞的实际危害,二者结合形成“自动化检测+人工验证”的双轮驱动模式,已成为企业筑牢安全防线的核心策略。
白山云北诗·2025-07-22 11:51

新一代会员分销返利小程序,聚合cps系统独立部署,对接20多个CPA/CPS资源

技术栈前端:vue3+uniapp后端:PHP数据库:MySQL一、系统介绍PHP部分代码'value1','param2'=>'value2',//添加其他参数];//发送HTTPPOST请求$ch=
+V:ywxs5787·2025-07-22 11:46

7-Zip 曝出两个可导致拒绝服务的中危漏洞

研究人员在全球使用最广泛的开源文件压缩软件7-Zip中新发现两个漏洞(CVE-2025-53816和CVE-2025-53817)。
FreeBuf-·2025-07-22 10:13

《Cocos2d-x实战 Lua卷》上线了

http://product.dangdang.com/23659810.html《Cocos2d-x实战Lua卷》源码及样章下载地址:源码下载地址:http://51work6.com/forum.php
·2025-07-22 09:03

【Web安全】逻辑漏洞之支付漏洞:原理、场景与防御

文章目录前言一、漏洞本质二、攻击原理正常支付流程漏洞触发流程三、抓包的时机选择:生成订单时四、风险场景1.隐藏商品购买(开发人员预留的测试商品)2.付费功能免费使用(添加付费参数:JS中查询、先买个会员抓包查看
介一笔记·2025-07-22 09:32

JAVA反序列化深入学习(三):CommonsCollections1

ApacheCommonsCollections是一个扩展了Java标准库里的Collection结构的第三方基础库,它提供了很多强有力的数据结构类型并实现了各种集合工具类。作为Apache开源项目的重要组件,被广泛运用于各种Java应用的开发。目录JAVA环境依赖版本检查依赖配置资源下载前置知识AbstractMapDecoratorTransformedMapdecoratetransform
Neolock·2025-07-22 09:56

Uniapp微信小程序开发:后端服务器搭建指南(语言选择+部署方案)

目录前言:Uniapp+微信小程序的架构模式️后端服务器的作用后端语言选择(Node.js/Java/Python/PHP/Go)☁️服务器部署方案(云服务器vsServerless)实战:如何连接Uniapp
·2025-07-22 08:20

智能合约安全 - 重入攻击 - 常见漏洞(第一篇)

重入攻击简单来说:在合约状态还没发生改变前,不停的进行对合约进行套利操作。存在场景:1、单函数重入(Single-FunctionReentrancy)简单来说:在一个函数中进行多次获取钱财操作。一般发生在先给他人转账,再进行修改状态。流程•攻击路径:Victim.funcA→Attacker.receive/fallback→Victim.funcA→…•经典案例:TheDAO(2016)。•关
麻辣兔变形记·2025-07-22 08:19

如何安全使用人工智能大模型

人工智能大模型的安全漏洞在推送,你只要有不一样的解决方案他就会通过学习学会,在别人讨论相同问题时,就会作为解决问题的推荐方案。这种机制是没办法防的。
·2025-07-22 08:49

web的跨域问题--针对CSP的内容

Access-Control-Allow-Methods","GET,POST")Header("Access-Control-Allow-Headers","x-requested-with,content-type")需要把这写代码写到1.php
SunnyZHQing·2025-07-22 06:35

工具链漏洞预警:全球活跃利用中的SharePoint新型零日RCE攻击链

图片来源:CODEWHITEGmbH2025年7月18日晚间,EyeSecurity安全团队发现一起大规模利用新型MicrosoftSharePoint远程代码执行(RCE)漏洞链的攻击活动,该漏洞链被命名为
FreeBuf-·2025-07-22 05:34
上一页 1 2 3 4 5 6 7 8 下一页
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他