近日刷题发现对基础知识掌握有点不牢固,故逐步整理温习.今天还是先整理下文件包含漏洞.
文件包含是指:程序开发人员把经常使用代码写到一个文件里,在使用时直接调用那个文件而无需重新编写代码的过程称为文件包含.在c语言中的调用头文件和python import调用模块本质上就是一种文件包含。而文件包含漏洞(RFI)是指通过函数包含文件时,没有对包含的文件进行处理导致包含某些敏感文件或恶意文件。
关于php反序列化字符逃逸的思考
|
php反序列化字符逃逸:指序列化的字符串是受某函数的所谓过滤处理后,字符串的某一部分会变化但描述其长度的数字没有改变.导致PHP在按该数字读取相应长度字符串后,本来属于该字符串的内容逃逸出了成为反序列化的一个属性,并成功反序列化.
如何让文件里PHP代码被服务器解析执行
|
按照一般植入webshell的方法通常是上传一段包含恶意代码文件,然后让服务器解析文件里的恶意代码从而得到get shell的目的。那么问题来了,文件中什么的字符会被当成php代码来解析?PHP代码中指令怎么分割?什么样的文件服务器会去解析?(本文章默认要执行的文件已在网站目录下的情况)
关于python ssti的思考
|
cocos2d官方文档汉化--Writing a cocos2d application
|
在开始使用一个新的库或框架是很困难的,尤其是在有大量参考文献要阅读的情况下。虽然会忽略掉一些细节,但这篇文章将用很简洁快速地介绍cocos2d。
Hello World
|
Welcome to Hexo! This is your very first post. Check documentation for more info. If you get any problems when using Hexo, you can find the answer in troubleshooting or you can ask me on GitHub.