PHP 防护XSS,SQL,代码执行,文件包含等多种高危漏洞

最新推荐文章于 2023-04-01 14:33:29 发布
最新推荐文章于 2023-04-01 14:33:29 发布
阅读量108 收藏
点赞数
文章标签: php
原文链接:https://yq.aliyun.com/articles/353619
版权

版本:v1.1
更新时间:2013-05-25
更新内容:优化性能
功能说明

可以有效防护XSS,sql注射,代码执行,文件包含等多种高危漏洞。


使用方法:

  1. 将waf.php传到要包含的文件的目录
  2. 在页面中加入防护,有两种做法,根据情况二选一即可:

 


a).在所需要防护的页面加入代码就可以做到页面防注入、跨站
复制代码
  1. require_once('waf.php');
如果想整站防注,就在网站的一个公用文件中,如数据库链接文件config.inc.php,来调用本代码。常用php系统添加文件

PHPCMS V9 \phpcms\base.php

PHPWIND8.7 \data\sql_config.php

DEDECMS5.7 \data\common.inc.php

DiscuzX2   \config\config_global.php

Wordpress   \wp-config.php

Metinfo   \include\head.php



b).在每个文件最前加上代码具体做法是:在php.ini中找到 auto_prepent_file并修改为:

复制代码
  1. Automatically add files before or after any PHP document;
  2. auto_prepend_file = waf.php路径;

补丁文件下载链接:

下载地址
php代码补丁 php_patch.zip (3 K)
asp代码补丁  asp.zip (2 K)



本文转自黄聪博客园博客,原文链接:http://www.cnblogs.com/huangcong/p/5252320.html,如需转载请自行联系原作者
weixin_34018202
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
CTF入门之php文件包含
qq_37410729的博客
07-23 2287
ctf-show web3,web4
云体检通用代码补丁
11-28 373
版本:v1.1更新时间:2013-05-25更新内容:优化性能功能说明: 可以有效防护XSSsql注射,代码执行文件包含等多种高危漏洞。 使用方法: 将waf.php传到要包含文件的目录 在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码就可以做到页面防注入、跨站 复制代码 require_o...
2020年php搜索收录查询源码,2020聚合搜索 V5.0 版本 完美MIP检测批量自动推送引擎泛目录站群源码搜索引擎快速收录...
weixin_28872283的博客
03-13 670
2020聚合搜索 V5.0 版本 完美MIP检测,批量自动推送引擎,泛目录站群源码,搜索引擎快速收录程序介绍:源码自带各环境伪静态文件,可以自己设置后缀。1、程序自带云体检通用漏洞防护补丁(防XSSSQL注入)2、自带违禁词关键词过滤(可以自行修改增加删除)3、自带SEO功能【自动提取两个关键词(一个为主,一个为辅)】4、支持伪静态。支持修改任意路径模式,支持修改全部后缀以及配置5、无需sheI...
修复跨站攻击 php
weixin_30514745的博客
05-17 109
在公用文件中加入如下代码 <?php /*云体检通用漏洞防护补丁v1.1 更新时间:2013-05-25 功能说明:防护XSS,SQL,代码执行文件包含等多种高危漏洞 */ $url_arr=array( 'xss'=>"\\=\\+\\/v(?:8|9|\\+|\\/)|\\%0acontent\\-(?:id|location|type|transfer\\...
分享一个网站网站防火墙。功能说明:防护XSS,SQL,代码执行文件包含等多种高危漏洞...
weixin_33786077的博客
11-01 226
1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36 37 38 39 40 41 42 43 44 45 46 47 48 49 50 51 52 53 54 55 56 57 58 59 60 61 ...
PHP 防护XSS,SQL,代码执行文件包含等多种高危漏洞
05-21
1.将waf.php传到要包含文件的目录 2.在页面中加入防护,有两种做法,根据情况二选一即可: a).在所需要防护的页面加入代码 require_once('waf.php'); 就可以做到页面防注入、跨站 如果想整站防注,就在网站的一...
基于正反向分析的SQLXSS漏洞检测系统(php代码审计web版)
07-19
基于正反向分析的SQLXSS漏洞检测系统(php代码审计web版) 用户角色 管理员 admin 123456 模块介绍 登陆模块 sql文件静态分析模块 phparser树形处理,json返回处理结果 sql显示image模块 graphviz生成pdf文件...
PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie的学习等等)
05-06
本压缩包提供的"PHP开发漏洞环境"是一个专门用于学习和研究这些安全问题的实践平台,包括SQL注入、文件上传、文件下载、XSS跨站脚本攻击、万能密码攻击以及session和cookie管理等多个方面。 1. SQL注入:这是一种...
安全开发基于正反向分析的SQLXSS漏洞代码检测系统(php代码审计web版)
07-19
基于正反向分析的SQLXSS漏洞检测系统(php代码审计web版) 用户角色 管理员 admin 123456 模块介绍 登陆模块 sql文件静态分析模块 phparser树形处理,json返回处理结果 sql显示image模块 graphviz生成pdf文件...
PHP开发漏洞环境(SQL注入+文件上传+文件下载+XSS+万能密码+session/cookie+购物逻辑漏洞的学习等等)
最新发布
05-08
这个PHP开发漏洞环境提供了学习和实践多种常见安全问题的机会,如SQL注入、文件上传、文件下载、跨站脚本(XSS)、弱口令、Session/Cookie管理以及购物逻辑漏洞等。下面将对这些知识点进行详细的阐述。 1. SQL注入:...
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
11-01
360独家防注入跨站脚本攻击漏洞补丁php-asp-jsp
php-waf合集
12-24
压缩包内包含php版本的waf,支持过滤非法字符及文件等功能
零距离泛目录程序源码主动关键词主动收集主动配图
qq_39163387的博客
04-01 327
1:无需sheI,无需蜘蛛池,无需租借二级目录,【只是需求新老域名和备案域名】5、无需sheI,无需蜘蛛池,无需租借二级目录,只是需求一个老域名。7、合理SEO优化结构,病毒式繁衍,组合,让蜘蛛畅快爬取录入。3:合理SE0优化结构,病毒式繁衍,组合,让蜘蛛畅快爬取录入。5:是现在有用,安稳,操作简略,省钱,排名好的霸屏程序。9、是现在有用,安稳,操作简略,省钱,排名的霸屏程序。6:所需资源,一个老域名,你自己的关键词,一个服务器。2:内置1500个资源接口,提权,养站,排名。
ctf中怎样获取php文件源码,CTF中文件包含的一些技巧
weixin_39580682的博客
03-09 3686
前言文件包含在 CTF 比赛也是常考的一个点,这里对一些包含点的原理、特征进行一些总结,并结合实际的例子来讲解如何绕过。php伪协议的分类伪协议是文件包含的基础,理解伪协议的的原理才能更好的利用文件包含漏洞php://inputphp://input代表可以访问请求的原始数据,简单来说POST请求的情况下,php://input可以获取到post的数据。使用条件:include()、includ...
include waf.php,一道ctf题的总结
weixin_34377697的博客
03-10 888
周末偶然看到学弟们在群里发的一道web题目,心血来潮决定做做,还是学到点东西,做个记录,题目地址。0x01Git源代码泄露该站点存在git源代码泄露,通过githack直接跑出代码文件。关注点有三个文件,一个是index2.php,一个是class.php,一个是waf.php,贴下关键代码。index.php12345678910111213141516171819202122232425262...
CTF线下赛WAF【参考,自行修改】
热门推荐
Sp4rkW的博客
10-05 1万+
原文链接:http://www.cnblogs.com/Oran9e/p/7233478.html 作者:Oran9e 期待已久的WAF &lt;?php error_reporting(0); define('LOG_FILENAME','log.txt'); function waf() { if (!function_exis...
ctf php文件包含,CTF-WEB文件包含及注入
weixin_28040125的博客
03-12 614
实验步骤一首先打开网页,发现只有一个简单页面,源代码页没有收获。但是地址栏貌似有线索。貌似是文件包含,我们包含以下主页试试,提示错误。那验证任意文件包含,发现也不行,而且提示的错误信息变了。实验步骤二估计是限制了只能包含当前目录下的文件,那么我们猜解一下文件好了。在windows平台上,php的某些函数获取文件时,可以使用例如我们输入page=i<并且可以逐位测试,in<Ia<那...
CTF线下赛AWD套路小结
diqi0762的博客
07-18 1405
一、 AWD模式简介 AWD:Attack With Defence,比赛中每个队伍维护多台服务器,服务器中存在多个漏洞,利用漏洞攻击其他队伍可以进行得分,修复漏洞可以避免被其他队伍攻击失分。 一般分配Web服务器,服务器(多数为Linux)某处存在flag(一般在根目录下); 可能会提供一台流量分析虚拟机,可以下载流量文件进行数据分析; flag在主办方的设定下每隔一定时...
xss蠕虫代码攻击属于高危漏洞
06-03
是的,XSS蠕虫代码攻击同样属于高危漏洞XSS蠕虫是一种自动化的攻击方式,它能够在网站上注入恶意脚本并自动传播,从而迅速感染大量计算机,造成极大的安全威胁。XSS蠕虫代码攻击能够窃取用户的敏感信息、篡改网页...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值