5up3rh3i'blog［提供有偿web代码安全审计服务］

79xxx30 23:19:21
小a 就是angle 以前superhei的老大

－－－－－－－－－－－－－－－－－－－－

请不要随便给别人拜老大,谢谢~~

工作不顺利....

叔叔得了肾病.....

最近又要考试.....

你还要给我压力.................................

http://msdn2.microsoft.com/zh-cn/library/bb418490.aspx

http://www.microsoft.com/latam/technet/articulos/tn/oct06-14.mspx

做人也要有那么点原则 fuck

http://www.slideshare.net/shreeraj/hacking-web-20-defending-ajax-and-web-services-hitb-2007-dubai

http://www.owasp.org/index.php/OWASP_Papers/Jeopardy_in_Web_2_0

mysql> show variables like 'colla%';
+----------------------+-------------------+
| Variable_name        | Value             |
+----------------------+-------------------+
| collation_connection | gbk_chinese_ci    |
| collation_database   | la...

幻影服务器以前一直受到攻击，所以中间停止了几个月。现在拿到新的机房，第二天就又收到SYN FLOOD攻击，所以现在又关闭了。除非我们找到防御的办法，否则不会再开放。   至于攻击者，我只能揣测是某些人在我们论坛的问题或者要求没有得到回复，或者纯粹的看我们不爽，于是一个人躲在阴暗的角落，时不时的给我们丢一个暗器，达到心理上的一点点发泄。   对于这种自慰的行为，我没什么特别要说的，只是，我可怜他。因为他除了躲在角落里面手淫——自己麻醉自己说打倒了幻影——之外，没有任何的办法。最后忠告他一句，过度的自慰对身体和心理都没有好处的，还是走到太阳下面，学点东西吧。  ...

http://www.neeao.com/blog/article-3196.html

标题改为了《php中的defined()使用不当将引起的漏洞》请不要自以为是，随便修改 谢谢！！

如果你硬是要修改 请不要写我的名字 再次谢过 

关于defined()


很多php使用defined()来防止外部直接访问php文件,从而保证了只让内部php文件include等调用。如下面：
<?
//tag.php
if (!defined("X")) {
    echo "You Cannot Access This Script Directly, Have a Nice Day.";
    exit();
}
?>

这样的代码可以解决很多的安全问题，比如变量未定义[应该说在本文件内未定义]。

但是这样的在本地包含漏洞前就没什么意义了。比如进来看一代码

php-fusion的一个Xday分析

by Superhei@ph4nt0m
2007-04-15
http://www.ph4nt0m.org

includes/update_profile_include.php

   ...
   $newavatar = $_FILES['user_avatar'];
    if ($userdata['user_avatar'] == "" && !empty($newavatar['name']) && is_uploaded_file($newavatar['...

http://www.websense.com/securitylabs/blog/blog.php?BlogID=117

七剑孤独 ---》seven sword lonely wolf

 

http://blog.php-security.org/archives/76-Holes-in-most-preg_match-filters.html

url: