服务器架构
liwenming910
这个作者很懒,什么都没留下…
展开
-
文件上传漏洞
常用的上传文件的程序中,主要的处理是:简单的文件类型检查(后缀,文件头(二进制的头几位)),实际这些方法是可能被攻击者绕过的。如下: 1.apache中对于文件名的解析是从后往前的,只到遇见一个apache认识的文件类型为止,如果在apache的mime.types文件把某些类型去掉,比如把jpg去掉,那么如下的文件会被执行: phpshell.php.jpg(此文件会执行,实际是一个php文原创 2015-12-30 13:57:35 · 208 阅读 · 0 评论 -
自动登录的思路
1,在用户登录的时候,如果选择下次自动登录,如果登录成功,把用户的uid,ip(ip可能变,所以不建议用),agent,salt,mac等通过加密方式放到cookie中,同时把用户的username也放到cookie中,同时在用户表中存放此cookie。 2,下次用户访问通过cookie获取username,通过username到库中获取uid,及获取用户的其他数据,如agent,salt,ma原创 2015-12-23 15:48:28 · 167 阅读 · 0 评论