PHP笔记网

ASCII码&16进制转换器

下载地址：ASCIIto16

海洋php注入软件（包括注入检测，导出webshell小马，HEX字符转换器等功能）

[2016-12-02] discuz最新漏洞解决方案，文件包含漏洞，函数check_seccode()漏洞

[2017-09-27] DiscuzX ≤ v3.4 任意文件删除漏洞

本文将对HTTP协议进行详细的实例讲解，内容较多，希望大家耐心看。也希望对大家的开发工作或者测试工作有所帮助。使用Fiddler工具非常方便地捕获HTTP Request和HTTP Response, 关于Fiddler工具的用法，请看另一篇博文[Fiddler 教程]

TOML的由来

配置文件的使用由来已久，从.ini、XML、JSON、YAML再到TOML，语言的表达能力越来越强，同时书写便捷性也在不断提升。 TOML是前GitHub CEO， Tom Preston-Werner，于2013年创建的语言，其目标是成为一个小规模的易于使用的语义化配置文件格式。TOML被设计为可以无二义性的转换为一个哈希表(Hash table)。

例子

# 这是一个TOML文件

title = "TOML Example"

[owner]
name = "Lance Uppercut"
dob = 1979-05-27T07:32:00-08:00 # 日期是一等公民

[database]
server = "192.168.1.1"
ports = [ 8001, 8001, 8002 ]
connection_max = 5000
enabled = true

[servers]
  #你可以使用空格、制表符进行缩进，或者根本不缩进。TOML不关心缩进。
  [servers.alpha]
  ip = "10.0.0.1"
  dc = "eqdc10"

  [servers.beta]
  ip = "10.0.0.2"
  dc = "eqdc10"

[clients]
data = [ ["gamma", "delta"], [1, 2] ]

# 数组内可以混入换行符
hosts = [
  "alpha",
  "omega"
]

1.脚本插入

(1)插入javascript和vbscript正常字符。

例1：<img src=”javascript:alert(/xss/)”>

例2：<table background=”javascript:alert(/xss/)”></table>’/在表格中插入脚本

例3：<img src=”vbscript:msgbox(“a”)”>

ThinkPHP是一款中文PHP框架，近年在各种场合应用频繁。

它自己在产品性能中提到了防XSS功能，但不如所愿，自己的官网有非持久型XSS。

墨西哥同学周末很郁闷的在宾馆上网，发现youtube被ban了，于是写个了tool解决这个问题。顺带想到了一种利用 google 统计的漏洞，写在这里了

http://sirdarckcat.blogspot.com/2009/04/how-to-use-google-analytics-to-dos.html

这个问题实际上是由于 webserver 的 request field limit 造成的。

当 http request header 过长时，webserver 会产生一个400 或者 4xx 错误

Your browser sent a request that this server could not understand.
Size of a request header field exceeds server limit.

XSS攻击在最近很是流行，往往在某段代码里一不小心就会被人放上XSS攻击的代码，看到国外有人写上了函数，咱也偷偷懒，悄悄的贴上来。。。
原文如下：

The goal of this function is to be a generic function that can be used to parse almost any input and render it XSS safe. For more information on actual XSS attacks, check out http://ha.ckers.org/xss.html. Another excellent site is the XSS Database which details each attack and how it works.