nginx 爆 0day 漏洞,上传图片可入侵服务器
国内顶级安全团队80sec于5.20日下午6点发布了一个关于nginx的漏洞通告,由于该漏洞的存在,使用nginx+php组建的网站只要允 许上传图片就可能被黑客入侵,直到5.21日凌晨,nginx尚未发布补丁修复该漏洞。
IIS源码泄露及文件类型解析错误
漏洞介绍:IIS是微软推出的一款webserver,使用较为广泛,在支持asp/asp.net的同时还可以较好的支持PHP等其他语言的 运行。但是80sec发现在IIS的较高版本中存在一个比较严重的安全问题,在按照网络上提供的默认配置情况下可能导致服务器泄露服务器端脚本源码,也可 能错误的将任何类型的文件以PHP的方式进行解析,使得恶意的攻击者可能攻陷支持PHP的IIS服务器,特别是虚拟主机用户可能受的影响较大。
一个真正的“PHP”模板引擎
PHP代码
- <?php
- /**
- * 模板引擎
- *
- * Copyright(c) 2005-2008 by 陈毅鑫(深空). All rights reserved
- *
- * To contact the author write to {@link mailto:shenkong@php.net}
- *
- * @author 陈毅鑫(深空)
- * @version $Id: Template.class.php 1687 2008-07-07 01:16:07Z skchen $
- * @package Template
- */
- defined('FW') || exit(header('HTTP/1.0 400 Bad Request'));
- class Template {
- protected static $obj;
PHP5中的Class/Object函数
class_exists — 判定一个类是否已经被定义
get_class_methods — 获取某个类中所有方法的名称
get_class_vars — 获取一个类中所有的特性
get_class — 返回一个方法所在的类名
get_declared_classes — 显示已定义的类的信息
get_declared_interfaces — 显示已定义的接口的信息
get_object_vars — 获取一个对象中所有的特性
get_parent_class — 获取一个类的父类的名称
interface_exists — 判定一个接口是否存在
is_a — 判定一个对象是否属于一个类或者是这个类的派生类
is_subclass_of — 判定一个对象或者类是否是另一个类的子类或者是子类的对象
method_exists — 判定一个方法是否存在于某个类
property_exists — 判定一个对象或者方法是否具有某一特性
使用示例请看详细页。
UCenter 密码算法规则和生成方法
康盛的系列产品,包括 Discuz、UCHome、Supesite 都集成了统一个用户系统——UCenter,用户登录的密码也保留在 UCenter 中,对于其他系统集成或导出数据到 UCenter系统,通常会碰到密码生成的题目,这里就讨论一下 UCenter 的用户密码算法规则和生成方法。
密码通常使用 MD5 对用户密码 HASH 后保留在数据库中的方法,假如黑客拿到了这个 HASH 数值,那么可以采用字典的方式暴力破解,假如这个字典数据库足够大,并且字典比较符合人们的设置习惯的话,那很轻易就能破解常见的密码,因此 UCenter 采用了 salt 来防止这种暴力破解,salt 是一随机字符串,它与口令连接在一起,再用单向函数对其运算,然后将 salt 值各单向函数运算的结果存入数据库中。假如可能的 salt 值的数量足够大的话,它实际上就消除了对常用口令采用的字典式攻击,由于黑客不可能在数据库中存储那么多 salt 和用户密码组合后的 HASH 值。
完整内容请看详细页。