浏览模式: 标准 | 列表2010年07月的文章

源码藏猫腻?

前几天从网上下了个源码本地测试,即将大功告成欲FTP之际,陡然通过DW发现源码文件里面藏有猫腻,欲知详情,且听我慢慢道来......

» 阅读全文

Tags: 入侵, webshell, 黑客, 网站

备案照相刺痛了谁?主机商管饭?工信部报销?

       说实在话,看到这个的消息很气愤,也不知道是谁的主意,真的想骂人,但又怕被跨省,一直很纠结……

       国家的政策和法律,就被他们这样玩来,那样玩去,全当作自己的玩具一般,想怎么玩就怎么玩。反正理由很冠冕堂皇:保障互联网的纯洁,打击不良信息网站。怎么听起来都是觉得很有道理的,反正民众都是可以被忽悠的,又不负法律责任。

       其实很可悲,中国要出台一项政策全凭几个人说了算,我们很多时候都被代表了。奥巴马要做一件事,还要通过议会表决呢,不同意的可以当场表示反对,如果达到一定比例,哪怕他是总统,他也没有权利按照他自己的意愿执行。在中国这个有着特色的社会主义国家里,领导说句话,底下的连个屁都不敢放,“和谐”的社会正离我们越来越近,长此以往,国将不国,我的爱国热情正像熄灭的QQ会员点数,每天都以15点的速度下降,我已经爱无力。

» 阅读全文

Tags: 备案, 网站, icp, idc

你的快乐不能问

话说某天,从同事处随手拿起一杂志,无聊翻阅,见此文,初看标题如其它一般无二,闷着读下去......十分钟后,我特意给文章加了个标签!第一感觉,妙!!!这种感觉已经丢失多年了,终于能从此文再次看到那种不显山露水的文风,实为惊喜!今转录如下,与君共飨......

» 阅读全文

Tags: 生活, 爱情, 青春

唐骏造假门

  从7月1日开始,有“学术打假斗士”之称的科普作家方舟子连续在微博上爆料称,新华都集团总裁唐骏在加州理工学院的博士学位系伪造,引起了广泛关注。7月6日上午,唐骏正式回应“造假门”事件......

» 阅读全文

Tags: 唐骏, 造假门, 互联网

ICP备案系统升级 进步还是倒退

近期,因接一单子,需要备案,登陆ICP官网,却发现貌似有了点变化,“注册”链接框没有了?看看新闻栏,汗,原来备案系统已经升级了,全新的备案流程......搜索发现,许多靠此营生的备案师傅们,价格自然水涨船高!以前15一个备案,现在最低60,而且不二价......据说,随之而来的是,照相、审查......真不知是中国互联网的进步还是倒退?

» 阅读全文

Tags: 备案, 互联网, 网站

nginx解析漏洞利用

系统编号: WAVDB-01623

影响版本:nginx 0.5.x/0.6.x/0.7.x/0.8.x

程序介绍:nginx是一款高性能的web服务器,使用非常广泛,其不仅经常被用作反向代理,也可以非常好的支持PHP的运行。

漏洞分析:nginx默认以cgi的方式支持php的运行,譬如在配置文件当中可以以

PHP代码
  1. location ~ \.php$ {   
  2. root html;   
  3. fastcgi_pass 127.0.0.1:9000;   
  4. fastcgi_index index.php;   
  5. fastcgi_param SCRIPT_FILENAME /scripts$fastcgi_script_name;   
  6. include fastcgi_params;   
  7. }    

的方式支持对php的解析,location对请求进行选择的时候会使用URI环境变量进行选择,其中传递到后端Fastcgi的关键变量SCRIPT_FILENAME由nginx生成的$fastcgi_script_name决定,而通过分析可以看到$fastcgi_script_name是直接由URI环境变量控制的,这里就是产生问题的点。而为了较好的支持PATH_INFO的提取,在PHP的配置选项里存在cgi.fix_pathinfo选项,其目的是为了从SCRIPT_FILENAME里取出真正的脚本名...

 

» 阅读全文

Tags: nginx, oday, 黑客