昨天刚有人发个php恶意代码给我要我分析,今天又发现js恶意代码了。。。 今天在找一个用jquery.lazyload.js的网站,就到了Louis Han看了下。 结果发现它的这个js文件后面居然还附加了一段加密js代码,解密后如下: 1234567891011121314element=document[getElementById](sc_co) if(!element){cls=screen[colorDepth] s...
« 类别 安全优化 下的文章
检测Gzip压缩——由一句评论引发的文章
说下写这篇文章的原因。 WP中文论坛某童鞋发一了帖子,名为《推荐的10款 WordPress 插件》,其中有推荐到一个页面压缩插件:gzippy 于是有人开喷了: 35582944 夜色倾城 说: 这种复制的老文章就不要转了 呃,他居然一眼把此文章认定为别人复制的,好吧,虽然我是版主,这些事情我是不管的,只要你不违反版规什么的。 楼主的回复: 然后,他开始误导群众了: 作为插件区的版主,我实在看不下去这种误导广大人民群众的,于是忍不住加了一句评语。然后我解释给他听: sejie10011 发表于 2...
WordPress优化技巧
1,插件优化之——插件按需加载 对于安装的插件,并不是每个插件在每个页面都要加载的。 总的原则就是: 只在后台使用的插件绝不在前台加载。由于wp在初始化时会载入plugins目录下面的已激活插件和载入主题目录下面的functions.php文件,因此,在插件的“主”文件中,我们可以做些判断,如对于只需要在后台使用的插件,可用如下PHP代码包裹之: 12345if( is_admin() ) { //原插件loader内容… //这里可能包含很多代...
打造安全博客之——避免WordPress暴路径
如果你的服务器的错误报告和显示默认是开启的,那么随便打开你博客的一个URL,便可查知你的博客用的是什么服务器操作系统、WP安装在哪个目录。 下面我随便找几个博客测试一下吧,哈哈,几乎百发百中了。。。 像这种因未在包含文件中执行而产生的调用未定义函数的错误,WP本身是无法handle的,因此,得在php.ini或在apache配置文件或.htaccess文件中禁用错误报告或错误显示,如: 12Options -Indexes php_value error_reporting 0 你完全不用担心这样设...
Discuz! X2 SQL注射漏洞 (20110629)
来自岁月联盟猪猪的博客: http://blog.syue.com/post/148.html 详细: if(!defined(‘IN_DISCUZ’)) { exit(‘Access Denied’); } define(‘NOROBOT’, TRUE); @list($_G['gp_aid'], $_G['gp_k'], $_G['gp_t'], $_G['gp_uid'], $_G['gp_tableid']) = exp...
凹丫丫网站管理系统cookie注射
话说这个BUG已经是很久以前的了,写此文只是MARK一下吧。各位看观见笑了。 这里说的是“凹丫丫新闻发布系统V3.112绿色简洁版”。 根目录下 search.asp 文件: 123456789101112131415161718192021222324<!–#include file="conn.asp"–> < % key=request("key") oty...
用yuicompressor来压缩你的js、css代码
yuicompressor-2.4.2.zip 下载 (1.6 MB, 55 次)
据说用yuicompressor压缩出来的东东经gz压缩后体积比其它工具更小。 下载:http://yuilibrary.com/downloads/#yuicompressor 目前的最新版本是2.4.2 使用举例: (确保你已经安装了jre ,并且将jar文件放在与js同一个目录,不然你打命令时就要连路径一起打了。 ) 1java -jar yuicompressor-2.4.2.jar ihacklog.com.js -o ihacklog.min.js –charset utf-...
关于php中的magic_quotes_gpc和safe_mode
今天重新配置了下php ,查看apache log却发现如下警告信息: PHP Warning: Directive ‘safe_mode’ is deprecated in PHP 5.3 and greater in Unknown on line 0 PHP Warning: Directive ‘magic_quotes_gpc’ is deprecated in PHP 5.3 and greater in Unknown on line 0...
XSS (Cross Site Scripting) Cheat Sheet Esp: for filter evasion
http://ha.ckers.org/xss.html By RSnake Note from the author: XSS is Cross Site Scripting. If you don’t know how XSS (Cross Site Scripting) works, this page probably won’t help you. This page is for people who already understand the basics o...
PATH_INFO的方式来实现搜索引擎友好
摘自:http://sushener.spaces.live.com/blog/cns!BB54050A5CFAFCDD!438.entry 我习惯使用PATH_INFO的方式来实现搜索引擎友好,比如: http://www.xxx.com/index.php/module/xxx/action/xxx/id/xxx 但是index.php能看到扩展名很不爽,解决方法如下: 如何隐蔽应用:例如 .php,的扩展名: 在APACHE中这样配置: ForceType application/x-http...
近期评论