极安全-JiSec

安装最新的php7.0.6在安装成功后运行 php -m 查看安装了哪些扩展 ,或者执行任意php命令报错 php -v PHP Deprecated: PHP Startup: memcached.sess_lock_wait and memcached.sess_lock_max_wait are deprecated. Please update your configuration to use memcached.sess_lock_wait_min, memcached.sess_lock_wait_max and memcached.sess_lock_retries in Unknown on line 0 Deprecated: PHP Startup: memcached.sess_lock_wait and memcached.sess_lock_max_wait are deprecated. Please update your configuration to use memca......       Deprecated: PHP Startup, PHP7, PHP7.0.6阅读全文

Yii CDbCriteria 常用方法 注：$c = new CDbCriteria();是ActiveRecord的一种写法，使ActiveRecord更加灵活，而不是手册中DAO（PDO）和Query Builder。 官方手册地址：http://www.yiiframework.com/doc/api/1.1/CDbCriteria 这是Yii CDbCriteria的一些笔记和常用用法： 一、一个sql拼装的情况 PHP代码 Php代码 $criteria = new CDbCriteria; //函数方式 $criteria->addCondition("id=1"); //查询条件，即where id = 1 $criteria->addInCondition('id', array(1,2,3,4,5)); //代表where id IN (1,23,,4,5,); $criteria->addNotI......       CDBCriteria, yii1.1阅读全文

public function getMinLimit () { $sql = "..."; $result = yii::app()->db->createCommand($sql); $query = $result->queryAll(); return array ( $query [0] ['max'], ); } $connection=Yii::app()->db; $sql="SELECT u.account,i.* FROM sys_user as u left join user_info as i on u.id=i.user_id"; $rows=$connection->createCommand ($sql)->query(); foreach ($rows as $k => $v ){ echo $v['add_time']; } =======================================......       Php, yii1.1阅读全文

ImageMagick是一款使用量很广的图片处理程序，很多厂商都调用了这个程序进行图片处理，包括图片的伸缩、切割、水印、格式转换等等。但近来有研究者发现，当用户传入一个包含『畸形内容』的图片的时候，就有可能触发命令注入漏洞。 国外的安全人员为此新建了一个网站： https://imagetragick.com/ ，不得不说，有些外国人蛮会玩的。 相对于之前的数个拥有『主页』的漏洞，这个洞确实不一般，确实是一个可以被利用的好洞，乌云主站上也爆出了数个被该漏洞影响的大厂商。我们先来分析一下它出现的原因。 0x01 原理分析 与这个漏洞相......       CVE-2016-3714, ImageMagick阅读全文

蚊子 嗡嗡嗡。 ImageMagick ImageMagick 昨天曝出 CVE-2016-3714，Java、PHP 的库也受其影响。其中 PHP 的库 Imagick 应用广泛，波及也大。Wordpress 也就是受此漏洞影响出现了 RCE。 这个漏洞很蠢，ImageMagick 在 MagickCore/constitute.c 的 ReadImage 函数中解析图片，如果图片地址是 https:// 开头的，即调用 InvokeDelegate。 MagickCore/delegate.c 定义了委托，第 99 行定义了要执行的命令。 最终 InvokeDelegate 调用 ExternalDelegateCommand 执行命令。 MagickCore/delegate.c 为了让大家更清楚的看见： 当时我就这个......       ImageMagick漏洞, ImageMagick漏洞POC, ImageMagick漏洞利用, Wordpress 4.5.1漏洞, Wordpress 4.5.1的远程命令执行阅读全文

文章目录 Paragon NTFS 14 for mac 14.0.483  介绍 由于windows下的分区格式与Mac的分区格式不通用,就导致了移动硬盘不通用的情况,然而 Paragon NTFS 就是为解决这个问题而生, Paragon NTFS 可以说是 Mac 上最知名的一款 NTFS 分区驱动了，能够让我们读写 NTFS 分区，因为在Mac OS X 系统上，默认对NTFS分区只能读而不能写，但我们的移动硬盘或U盘很多都是用NTFS进行的分区，所以当你发现在Mac上无法往移动硬盘或U盘中写入数据时，大部分原因是你没有按照NTFS分区驱动，安......       Mac, Paragon NTFS 14 for mac阅读全文

GitLab 是一个用于仓库管理系统的开源项目。越来越多的公司使用Git作为代码管理工具，并在此基础上搭建起来的web服务,且允许外网访问,这就出现个问题,开发人员一般不会注意是否将代码public了,只要项目权限开源,这样公司的代码就处在人人都能下载,且看下面 利用Google hack site:*.cn/public/projects/ 找到带cn的域名的git库 风云直播 章鱼TV 各种配置文件 发现找到的不是很多, 于是分析gitlab 首页具有特征性的标志, GitLab is open source software to collaborate on code. Sign in or browse for public projects. 能有很多......       GitLab权限 GitLab敏感信息泄露阅读全文

. 作者: Falcon 博客: https://www.jisec.com 文件名称 : Falcon子域名扫描工具.exe 文件大小 : 3562496 byte : 文件类型 : application/x-dosexec MD5:a33c5adba55a5430bfabc40910704e69 SHA1:da3e4d43f6b879d75cfdad71f2f42b83e17b4007 本人开发的一款根据域名查询子域名的工具,渗透必备神器,有返回网站Title,想必不说大家也知道有什么用了吧,扫描出所有的子域名,然后返回服务器状态,服务器类型,子域名网站的Title,这样找出系统管理后台是不是很easy,这是针对信息收集的重要一步,扫描出结果后双击需要打开的域名,即可使用默认浏览......       Falcon, Falcon子域名扫描工具, 子域名扫描阅读全文

在甲方公司做代码审计一般还是以白盒为主，漏洞无非这么几类，XSS、sql注入、命令执行、上传漏洞、本地包含、远程包含、权限绕过、信息泄露等。 1.xss + sql注入 其中占大头的自然是XSS与SQL注入，对于框架类型或者有公共文件的，建议在公共文件中统一做一次XSS和SQL注入的过滤。写个过滤函数，可由如下所示： $_REQUEST = filter_xss($_REQUEST); $_GET = filter_xss($_GET); $_POST = filter_xss($_POST); $_COOKIE = filter_xss($_COOKIE); $_POST = filter_sql($_POST); $_GET = filter_sql($_GET); $_COOKIE = filter_sql($_CO......       php代码安全, PHP代码审计阅读全文

当看到别人网站的页面比较漂亮的时候，就想给扒皮下来，学习学习。分享一个我常用网站扒皮命令wget 这个命令可以以递归的方式下载整站，并可以将下载的页面中的链接转换为本地链接。 wget加上参数之后，即可成为相当强大的下载工具。 wget命令详解 wget -r -p -np -k http://xxx.com/xxx -r, --recursive（递归） specify recursive download.（指定递归下载） -k, --convert-links（转换链接） make links in downloaded HTML point to local files.（将下载的HTML页面中的链接转换为相对链接即本地链接） -p, --page-requisites（......       SiteSucker, 整站下载阅读全文

Falcon PathScan(猎鹰路径扫描器) 作者: Falcon 博客: https://www.jisec.com 能够根据字典快速扫描出站点存在的路径,文件,基于python 的一款扫描器,适和在 windows, linux, mac 下运行   # Enumeration web path scanning tools, use the dictionary # Coded By Falcon - www.jisec.com # Use the help, for example falcon.py http://www.google.com/ 10 # 10 is the thread here # The results of the scan in FalconPathScan/results.txt 下面是运行图片   按照帮助执行扫描后会在目录下生成results.tx 的文件 结......       Falcon PathScan, FalconPathScan, 猎鹰路径扫描器阅读全文

随着PHP7实际线上使用的越来越多,据测试,效率得到大幅提升,当然我们也得紧跟步伐向前走了,首先mac 是自带了php5.5.3环境 ,我们就需要自己再安装一个php7然后替换掉原有的php就可以了. 1.安装homebrew homebrew是mac下非常好用的包管理器，会自动安装相关的依赖包，将你从繁琐的软件依赖安装中解放出来。 安装homebrew也非常简单，只要在终端中输入: ruby -e "$(curl -fsSL https://raw.githubusercontent.com/Homebrew/install/master/install)" homebrew的常用命令: brew update #更新可安装包的最新信息，建议每次安装前都运行......       Mac PHP7, Mac 替换掉自带的php阅读全文