youaregoo
youaregoo

21非常有用的htaccess的方法与技巧

21非常有用的htaccess的方法与技巧

Apache Web服务器有一个伟大的方式来处理信息,使用htaccess的文件。htaccess文件(超文本的访问)的目录级别的配置文件,允许Web服务器配置的分散管理的默认名称。htaccess文件是放置在Web树,是能够覆盖服务器的全局配置的一个子集,这个子集的程度是由Web服务器管理员定义。。htaccess的最初目的是让每个目录访问控制(例如,需要密码才能访问的内容),因此这个名字。如今的。htaccess可以覆盖许多其他配置设置,主要涉及内容的控制,例如,内容类型和字符集,CGI处理程序,等等。

以下是一些非常有用的htaccess的技巧。   站长百科  PHP教程同步首发

1。自定义目录索引文件

xml代码   收藏代码
  1. DirectoryIndex index.html index.php index.htm  

您的htaccess文件中使用上面的片段,你可以改变默认的索引文件的目录。如果一个用户请求/ foo /中,Apache将服务是/ foo / index.html的,或您指定的任何文件。

2。自定义错误页面

xml代码   收藏代码
  1. ErrorDocument 404 errors/404.html   

您可能希望将用户重定向到一个错误页面是像404的HTTP错误发生。您可以使用htaccess文件中映射的404错误错误页errors/404.html的上面的片段。你也可能想要写一个共同的页面,所有HTTP错误如下:

xml代码   收藏代码
  1. ErrorDocument 404 /psych/cgi-bin/error/error?404   

3。控制在文件和目录级别的访问

htaccess是最常用的限制或拒绝个别文件和文件夹的访问。一个典型的例子是“包括”文件夹。您的网站的网页可以调用这些脚本,所有他们喜欢的,但你不希望用户访问这些文件,直接在网上。在这种情况下,你会下降。htaccess文件,像这样的内容包括夹。

xml代码   收藏代码
  1. # no one gets in here!  
  2. deny from all  

这将拒绝所有直接访问该文件夹中的任何文件。你可以与你的情况更具体,例如访问限制到一个特定的IP范围,这里有一个方便的顶级本地测试服务器的规则。

xml代码   收藏代码
  1. # no nasty crackers in here!  
  2. order deny,allow  
  3. deny from all  
  4. allow from 192.168.0.0/24  
  5. # this would do the same thing..  
  6. #allow from 192.168.0  

一般来说,这些要求的各种反弹防火墙无论如何,而是一个活生生的服务器上,他们成为有用过滤掉不受欢迎的IP块,已知的风险,很多事情。

有时候,你只会想禁止一个IP,也许是一些持久的机器人,不按规则玩。

xml代码   收藏代码
  1. # someone else giving the ruskies a bad name..  
  2. order allow,deny  
  3. deny from 83.222.23.219  
  4. allow from all  

4。修改环境变量

环境变量包含服务器端所使用的信息,包括和CGI。设置/取消设置环境变量使用SETENVUnSetEnv

xml代码   收藏代码
  1. SetEnv SITE_WEBMASTER "Jack Sprat"  
  2. SetEnv SITE_WEBMASTER_URI mailto:[email protected]  
  3.   
  4. UnSetEnv REMOTE_ADDR   

5。301重定向使用htaccess的

如果你想从旧的文件重定向到新:

xml代码   收藏代码
  1. Redirect 301 /old/file.html http://yourdomain.com/new/file.html  

使用以下重定向整个目录。

xml代码   收藏代码
  1. RedirectMatch 301 /blog(.*) http://yourdomain.com/$1  

6。实施计划。htaccess文件高速缓存

缓存的静态文件,并提高您的网站的性能。

xml代码   收藏代码
  1. # year  
  2. <FilesMatch "\.(ico|pdf|flv|jpg|jpeg|png|gif|swf|mp3|mp4)$">  
  3. Header set Cache-Control "public"  
  4. Header set Expires "Thu, 15 Apr 2010 20:00:00 GMT"  
  5. Header unset Last-Modified  
  6. </FilesMatch>  
  7. #2 hours  
  8. <FilesMatch "\.(html|htm|xml|txt|xsl)$">  
  9. Header set Cache-Control "max-age=7200, must-revalidate"  
  10. </FilesMatch>  
  11. <FilesMatch "\.(js|css)$">  
  12. SetOutputFilter DEFLATE  
  13. Header set Expires "Thu, 15 Apr 2010 20:00:00 GMT"  
  14. </FilesMatch>  

7。使用GZIP压缩输出

下面的代码片断添加到您的htaccess文件和压缩所有的CSS,JS,用gzip压缩的HTML文件。

xml代码   收藏代码
  1. <IfModule mod_gzip.c>  
  2.     mod_gzip_on       Yes  
  3.     mod_gzip_dechunk  Yes  
  4.     mod_gzip_item_include file      \.(html?|txt|css|js|php|pl)$  
  5.     mod_gzip_item_include handler   ^cgi-script$  
  6.     mod_gzip_item_include mime      ^text/.*  
  7.     mod_gzip_item_include mime      ^application/x-javascript.*  
  8.     mod_gzip_item_exclude mime      ^image/.*  
  9.     mod_gzip_item_exclude rspheader ^Content-Encoding:.*gzip.*  
  10. </IfModule>  

上面的代码工作mod_gzip模块只有在您的Web服务器中启用。如果您的网络服务器提供支持mod_deflate模块,您可能需要添加下面的代码片断。

xml代码   收藏代码
  1. <Location>  
  2.     SetOutputFilter DEFLATE  
  3.       SetEnvIfNoCase Request_URI  \  
  4.         \.(?:gif|jpe?g|png)$ no-gzip dont-vary  
  5.     SetEnvIfNoCase Request_URI  \  
  6.         \.(?:exe|t?gz|zip|gz2|sit|rar)$ no-gzip dont-vary  
  7. </Location>   

如果您的服务器不支持mod_deflate模块,那么你可能需要使用下面的代码片断。

xml代码   收藏代码
  1. <FilesMatch "\.(txt|html|htm|php)">  
  2.     php_value output_handler ob_gzhandler  
  3. </FilesMatch>  

8。浏览器重定向到HTTPS(SSL)

下面的代码片断添加到您的htaccess的和整个网站重定向到HTTPS。

xml代码   收藏代码
  1. RewriteEngine On  
  2. RewriteCond %{HTTPS} !on  
  3. RewriteRule (.*) https://%{HTTP_HOST}%{REQUEST_URI}  

9。重写的URL使用htacccess

重写product.php?ID = 12产品-12.html

xml代码   收藏代码
  1. RewriteEngine on  
  2. RewriteRule ^product-([0-9]+)\.html$ product.php?id=$1  

的重写product.php?ID = 12至product/ipod-nano/12.html

xml代码   收藏代码
  1. RewriteEngine on  
  2. RewriteRule ^product/([a-zA-Z0-9_-]+)/([0-9]+)\.html$ product.php?id=$2  

非WWW网址重定向到www的网址

xml代码   收藏代码
  1. RewriteEngine On  
  2. RewriteCond %{HTTP_HOST} ^viralpatel\.net$  
  3. RewriteRule (.*) http://www.viralpatel.net/$1 [R=301,L]  

重写yoursite.com / user.php?用户名= XYZ yoursite.com / XYZ

xml代码   收藏代码
  1. RewriteEngine On  
  2. RewriteRule ^([a-zA-Z0-9_-]+)$ user.php?username=$1  
  3. RewriteRule ^([a-zA-Z0-9_-]+)/$ user.php?username=$1  

域名重定向到新的子文件夹内的public_html

xml代码   收藏代码
  1. RewriteEngine On  
  2. RewriteCond %{HTTP_HOST} ^test\.com$ [OR]  
  3. RewriteCond %{HTTP_HOST} ^www\.test\.com$  
  4. RewriteCond %{REQUEST_URI} !^/new/  
  5. RewriteRule (.*) /new/$1   

10。防止目录列表

添加下面的代码片段,以避免目录列表。

xml代码   收藏代码
  1. Options -Indexes  

xml代码   收藏代码
  1. IndexIgnore *   

11。添加新的MIME类型

取决于文件扩展名的文件类型。无法识别的文件扩展名被视为文本数据,并下载损坏。

xml代码   收藏代码
  1. AddType application/x-endnote-connection enz  
  2. AddType application/x-endnote-filter enf  
  3. AddType application/x-spss-savefile sav  

12。拒绝访问静态文件数据

如果推荐人是不是本地站点或空否认有任何静态文件(图像,CSS等)的要求。

xml代码   收藏代码
  1. RewriteCond %{HTTP_REFERER} !^$  
  2. RewriteCond %{REQUEST_URI} !^/(wp-login.php|wp-admin/|wp-content/plugins/|wp-includes/).* [NC]  
  3. RewriteCond %{HTTP_REFERER} !^http://www.askapache.com.*$ [NC]  
  4. RewriteRule \.(ico|pdf|flv|jpg|jpeg|mp3|mpg|mp4|mov|wav|wmv|png|gif|swf|css|js)$ - [F,NS,L]  

13。指定上传htaccess的PHP文件限制

xml代码   收藏代码
  1. php_value upload_max_filesize 20M  
  2. php_value post_max_size 20M  
  3. php_value max_execution_time 200  
  4. php_value max_input_time 200  

在上面的。htaccess文件,上传能力由四个参数,第一个是最大上传文件大小的增加,第二个是后数据的最大大小,第三个是在几秒钟的时间上限,允许脚本运行之前,它是终止解析器允许一个脚本解析输入数据,如像文件上传,最后一个是在几秒钟内最大的一次,POST和GET数据。

14。禁止脚本执行

xml代码   收藏代码
  1. Options -ExecCGI  
  2. AddHandler cgi-script .php .pl .py .jsp .asp .htm .shtml .sh .cgi  

15。更改字符集和语言的头文件

xml代码   收藏代码
  1. AddDefaultCharset UTF-8  
  2. DefaultLanguage en-US  

16。设置服务器的时区(GMT)

xml代码   收藏代码
  1. SetEnv TZ America/Indianapolis  

17。力“的文件另存为”提示“

xml代码   收藏代码
  1. AddType application/octet-stream .avi .mpg .mov .pdf .xls .mp4  

18。一个单一的文件保护

通常情况下的。htaccess适用于整个目录。随着 指令,你可以限制到特定的文件:

xml代码   收藏代码
  1. <Files quiz.html>  
  2. order deny,allow  
  3. deny from all  
  4. AuthType Basic  
  5. AuthName "Characterology Student Authcate"  
  6. AuthLDAP on  
  7. AuthLDAPServer ldap://directory.characterology.com/  
  8. AuthLDAPBase "ou=Student, o=Characterology University, c=au"  
  9. require valid-user  
  10. satisfy any  
  11. </Files>   

19。使用htaccess的设置cookie

设置环境变量的Cookie

xml代码   收藏代码
  1. Header set Set-Cookie "language=%{lang}e; path=/;" env=lang  

基于请求设置的Cookie。此代码将创建在客户端上的Cookie,在第二个括号匹配项的值的Set-Cookie头。

xml代码   收藏代码
  1. RewriteEngine On  
  2. RewriteBase /  
  3. RewriteRule ^(.*)(de|es|fr|it|ja|ru|en)/$ - [co=lang:$2:.yourserver.com:7200:/]  

20。寄自定义页眉

xml代码   收藏代码
  1. Header set P3P "policyref=\"http://www.askapache.com/w3c/p3p.xml\""  
  2. Header set X-Pingback "http://www.askapache.com/xmlrpc.php"  
  3. Header set Content-Language "en-US"  
  4. Header set Vary "Accept-Encoding"  

21。根据User-Agent头阻塞请求

xml代码   收藏代码
  1. SetEnvIfNoCase ^User-Agent$ .*(craftbot|download|extract|stripper|sucker|ninja|clshttp|webspider|leacher|collector|grabber|webpictures) HTTP_SAFE_BADBOT  
  2. SetEnvIfNoCase ^User-Agent$ .*(libwww-perl|aesop_com_spiderman) HTTP_SAFE_BADBOT  
  3. Deny from env=HTTP_SAFE_BADBOT  

 


你可能感兴趣的:(.htaccess)

  • Apache重定向.htaccess无域名通用配置:HTTP跳转HTTPS、HTTPS跳转HTTP、跳转WWW,不跳WWW
    HTTP跳转HTTPS:RewriteEngineOnRewriteCond%{HTTPS}!=onRewriteRule^/?(.*)https://%{SERVER_NAME}/$1[R,L]HTTPS跳转HTTP:RewriteEngineOnRewriteCond%{HTTPS}=onRewriteRule^/?(.*)http://%{SERVER_NAME}/$1[R,L]跳转WWW:
  • [点点搬家]初试mod_perl+apache 之二 promenade perlapache
    [四年前的博客了,学习apache的纯真年代]学习practicalmod_perl中关于apache的配置,章节连接如下http://www.modperlbook.org/html/4-1-1-Configuration-Files.html1,".htaccess"文件,可以看到httpd.conf中有这样的模块AllowOverrideNoneOptionsNoneOrderallow,d
  • 文件上传绕过 Clockwiseee android
    文章目录攻击与绕过方式一、条件竞争二、二次渲染结合文件包含绕过1、gif2、png3、jpg三、.htaccess解析绕过四、文件后缀名绕过1、文件特殊后缀名+大小写绕过2、::$DATA绕过3、双后缀名绕过4、点绕过5、空格绕过五、文件头绕过六、短标签绕过七、MIME(Content-Type)绕过八、00截断九、垃圾字符绕过十、中间件解析漏洞十一、构造绕过十二、Content-Disposit
  • MySQL注入中load_file()函数的使用 摸金校尉-马 mysql数据库
    前言在Msql注入中,load_file()函数在获得webshell以及提权过程中起着十分重要的作用,常被用来读取各种配置文件而load_file函数只有在满足两个条件的情况下才可以使用:文件权限:chmoda+xpathtofile文件大小:必须小于max_allowed_packet举例selectload_file('D:\xampp\htdocs\www\wanju\htaccess.t
  • TP5 —— 隐藏 index.php 入口文件 每天瞎忙的农民工 phpthinkphp5隐藏index.php入口文件
    一,找到/public/.htaccess文件,如果你的入口文件已经移动到根目录下,那么你的.htaccess文件也要剪切到根目录下,要确保.htaccess跟入口的index.php保持同级二,根据你的php环境分别设置.htaccess文件:把.htaccess修改为以下内容Options+FollowSymlinks-MultiviewsRewriteEngineonRewriteCond%
  • thinkphp5解决在apache中重写规则不生效的问题[No input file specified.] 背书包的甜瓜 thinkphp5
    在public目录下面,找到.htaccess文件,修改最后一行RewriteRule^(.*)$index.php/$1[QSA,PT,L]在index.php后面加?号,保存,重启Apache即可源文件Options+FollowSymlinks-MultiviewsRewriteEngineOnRewriteCond%{REQUEST_FILENAME}!-dRewriteCond%{REQ
  • thinkphp报错No input file specified. (对于隐藏url中的index.php 是如何做到的?) S_Yes PHPthispanidtransmarkspanidtransmarksty
    thinkphp51.去除httpd.conf文件中"#LoadModulerewrite_modulemodules/mod_rewrite.so"前面的"#"号;2.修改httpd.conf文件中的AllowOverrideNone为AllowOverrideAll,目的是支持.htaccess文件;##AllowOverridecontrolswhatdirectivesmaybeplace
  • PHP nts模式ThinkPHP出现No input file specified 云计算课代表 日常运维问题合集php开发语言
    在切换到PHP的nts模式时出现的NoinputfilespecifiedPHPnts模式ThinkPHP找到Thinkphp的的.htaccess,将以下内容RewriteRule^(.*)$index.php/$1[QSA,PT,L]修改为RewriteRule^(.*)$index.php[L,E=PATH_INFO:$1]
  • 【Azure 应用服务】PHP项目部署到App Service for Linux环境中,如何修改上传文件大小的限制呢? 云中路灯
    问题描述PHP项目部署到AppServiceforLinux环境中,如何修改上传文件大小的限制呢?问题解答经过查询AzureAppService官方文档,可能通过在项目根目录下添加.htaccess文件,并使用php_valueupload_max_filesize指令进行文件上传大小上限的修改。如hp_valueupload_max_filesize10M。.htaccess文件的内容为:php
  • 【CTF】文件上传(知识点+例题)(1) Sunny-Dog web学习CTFphpwebweb安全安全网络安全
    【CTF】文件上传(知识点+例题)(1)文章目录【CTF】文件上传(知识点+例题)(1)文件上传一、前端校验二、利用.htaccess和.user.ini上传三、过滤关键字之php四、过滤一系列符号1、过滤“[]”2、过滤“;”3、过滤"()"五、日志注入文件上传在上传文件时,服务端代码没有对客户端上传的文件进行严格的验证和过滤,就容易造成可以上传任意文件的情况,包括上传脚本文件(asp、aspx
  • 利用.htaccess将二级域名与二级目录绑定 前端唠唠嗑
    之前买了一个阿里云的虚拟主机,同时配了一个域名一直没用,现在准备用起来玩一下。本文主要介绍在同一一级域名、同一ip下如何实现二级域名的跳转。假设一级域名为example.com,我们希望在这个域名下设置一个二级域名second.example.com,其二级目录为secondList,那么我们需要在example.com根目录下面建立一个文件.htaccess,然后将以下代码放入RewriteEn
  • CVE-2022-25578 漏洞复现 Jay 17 CVE复现CVE-2022-25578漏洞复现CVEWeb安全网络安全
    CVE-2022-25578路由/admin/admin.php是后台,登录账号和密码默认是admin、tao,选择文件管理。是否还记得文件上传中的.htaccess配置文件绕过发,在这个文件中加入一句AddTypeapplication/x-httpd-php.jpg,将所有jpg文件当作php文件解析。但是这里没有/pictures目录,本来应该在/pictures新建一个jpg文件,内容是一
  • 创建 yaf 项目目录及文件(windows) Hyso
    yaf项目目录结构+public|-index.php//入口文件|-.htaccess//重写规则|-composer.json//composer配置文件|+static|-css|-img|-js+conf|-application.ini//项目配置文件+application|+controllers|-Index.php//默认控制器|+views|+index//控制器|-index
  • IMF_1(VulbHub)_WriteUp 沫风港 综合渗透_靶场通关文档网络安全
    目录1、主机探测2、web渗透发现flag1发现flag2拼接imfadministrator目录收集用户名代码审计之弱类型绕过发现flag3进入IMFCMS漏扫测试尝试跑sqlmap发现异常数据发现flag4继续访问uploadr942.php页面waf绕过(.htaccess绕过)发现flag5反弹shell3、内网渗透查找agent查看开启的端口情况查看/usr/local/bin下的文件敲
  • NextCloud性能和安全设置优化 夏日蝉鸣心 NextCloud云盘
    1、解决上传文件时nginx413RequestEntityTooLarge错误产生原因:上传文件的大小超出了Nginx允许的最大值,如果没有配置的话,默认是1M;修改Nginx配置:client_max_body_size100m;2、您的数据目录和文件可以从互联网直接访问。.htaccess文件不起作用。强烈建议您配置Web服务器,以便数据目录不再可访问,或者你可以将数据目录移动到Web服务器
  • 【文件上传WAF绕过】<?绕过、.htaccess木马、.php绕过 hacker-routing web【精选】VulnHub渗透测试靶场练习平台前端phpjava服务器linux网络安全文件上传
    博主介绍‍博主介绍:大家好,我是hacker-routing,很高兴认识大家~✨主攻领域:【渗透领域】【应急响应】【python】【VulnHub靶场复现】【面试分析】点赞➕评论➕收藏==养成习惯(一键三连)欢迎关注一起学习一起讨论⭐️一起进步文末有彩蛋作者水平有限,欢迎各位大佬指点,相互学习进步!目录文件上传常用waf绕过木马路径00截断1、upload11(GET传参)2、upload12(P
  • 基于Python3的OneDrive多网盘挂载程序,带会员/同步等功能,附带系统搭建教程 行动之上 源码免费下载onedrivepython
    搭建教程虚拟主机用户,Apache构架的配置如下,Nginx的我不知道根目录创建一个.htaccess文件,内容如下:RewriteEngineonRewriteCond%{REQUEST_URI}!^publicRewriteRule^(.*)$public/$1[L]如果是VPS用户直接修改网站运行目录为public即可修改根目录.env里的数据库连接:DB_CONNECTION=mysqlD
  • 安全基础~通用漏洞3 `流年づ 安全学习安全
    文章目录知识补充文件上传(1)ctfshow文件上传靶场练习150-161文件上传(2)ctfshow文件上传靶场练习162-170文件上传总结文件包含知识补充url编码:0a换行;20空格;3c左尖括号;3e右尖括号;23#;2b+;.htaccess文件是用于apache服务器下的控制文件访问的配置文件,因此Nginx下是不会生效的.htaccess可以控制错误重定向,初始页面设置,文件夹的访
  • php多用户文件管理,搭建属于个人的网盘 可多用户使用 网盘程序 云盘源码 文件管理与共享系统(自适应)... 一二三是五六十~~ php多用户文件管理
    系统品牌:其他系统开发语言:PHP数据库:Mysql一个轻量级文件管理与共享系统,支持多用户,可充当网盘程序,程序无需数据库安装步骤:1.建议安装在apache环境下,并确保.htaccess可用2.解压文件至网站根目录3.【重要】默认用户名:admin默认密码:password后台管理地址:http://yourdomain/vfm-admin/具体可在后台管理中修改全局配置,或者直接在/vfm
  • php极简云网盘网页版源码,PHP极简云盘个人网盘源码 文件管理与共享系统 自适应手机端... 彭迅鹏xp php极简云网盘网页版源码
    一个轻量级文件管理与共享系统,支持多用户,可充当网盘程序,程序无需数据库安装步骤:1.建议安装在apache环境下,并确保.htaccess可用2.解压文件至网站根目录3.【重要】默认用户名:admin默认密码:password后台管理地址:http://域名/vfm-admin/具体可在后台管理中修改全局配置,或者直接在/vfm-admin/config.php中修改一些设置建议:1.基本设置-
  • day34WEB 攻防-通用漏洞&文件上传&黑白盒审计&逻辑&中间件&外部引用 aozhan001 小迪安全-2022年中间件
    目录一,白盒审计-Finecms-代码常规-处理逻辑黑盒思路:寻找上传点抓包修改突破获取状态码及地址审计流程:功能点-代码文件-代码块-抓包调试-验证测试二,白盒审计-CuppaCms-中间件-.htaccess三,白盒审计-Metinfo-编辑器引用-第三方安全配套资源(百度网盘):链接:https://pan.baidu.com/s/1kl84Z8ttjp_pI4tWskcv-A?pwd=mn
  • nginx 301重定向配置 YHJ nginx
    301重定向不陌生,有时候有需求把某目录整个重定向到一个二级域名,或者不带www的顶级域名请求全部重定向到带www的二级域名.如果是Apache,需要配置.htaccess,nginx不支持,需要在配置文件里面使用rewrite指令来实现。顶级域名重定向到www1234server{server_namettlsa.com;rewrite^/(.*)$http://www.ttlsa.com/$1
  • 保护自己免遭Google骇客攻击 Yix1a
    优先选择一个优质可靠的安全策略一个强制执行,可靠的安全策略应该作为安全努力的基础如果没有策略,你的安全防护就是无效的或者无法强制执行的。Web服务器安全防护robots.txt文件和专门的META标记能帮助禁止搜索引擎忘爬虫访问特定的页面或目录目录列表和丢失的索引文件目录列表,错误消息和错误配置能够提供太多的消息通常在.htaccess文件里面设置来防止目录内容被未授权的用户浏览Robot.txt
  • ThinkPhp5.0.24 去除路径 index.php 醉の虾 ThinkPHP
    默认情况下,使用THINKPHP框架的站点,url路径中必须出现index.php,这个比较不爽我使用5.0.24这个版本,经过测试,我的方法是:打开public目录下的.htaccess,然后随意打个空格,再保存,然后就可以不用输入index.php了注意:我之前没有修改这个文件,只是重新保存一下。内容如下:Options+FollowSymlinks-MultiviewsRewriteEngi
  • day33WEB 攻防-通用漏洞&文件上传&中间件解析漏洞&编辑器安全 aozhan001 中间件安全
    目录一,中间件文件解析漏洞-IIS&Apache&Nginx-IIS67文件名目录名-Apache换行解析配置不当1、换行解析-CVE-2017-157152、配置不当-.htaccess配置不当-Nginx文件名逻辑解析漏洞1、文件名逻辑-CVE-2013-45472、解析漏洞-nginx.conf配置不当二,Web应用编辑器-Ueditor文件上传安全三,实例CMS&平台-中间件解析&编辑器引
  • WEB攻防-通用漏洞&文件上传&二次渲染&.htaccess&变异免杀 @墨竹 前端安全php
    目录知识点详细点文件二次渲染php删除规则例题CTF-Web入门-162CTF-Web入门-163CTF-Web入门-164CTF-Web入门-165CTF-Web入门-166CTF-Web入门-167CTF-Web入门-168CTF-Web入门-169-170知识点1、文件上传-二次渲染2、文件上传-简单免杀变异3、文件上传-.htaccess妙用4、文件上传-PHP语言特性详细点1、检测层面:
  • day 32 文件上传&二次渲染&.htaccess&变异免杀 匿名用户0x3c 小迪网安笔记安全
    前言:#知识点:1、文件上传-二次渲染2、文件上传-简单免杀变异3、文件上传-.htaccess妙用4、文件上传-PHP语言特性#详细点:1、检测层面:前端,后端等2、检测内容:文件头,完整性,二次渲染等3、检测后缀:黑名单,白名单,MIME检测等4、绕过技巧:多后缀解析,截断,中间件特性,条件竞争等#本章课程内容:1、文件上传-CTF赛题知识点2、文件上传-中间件解析&编辑器安全3、文件上传-实
  • day32WEB 攻防-通用漏洞&文件上传&二次渲染&.htaccess&变异免杀 aozhan001 小迪安全-2022年前端
    本章节知识点:1、文件上传-二次渲染2、文件上传-简单免杀变异3、文件上传-.htaccess妙用4、文件上传-PHP语言特性前置知识:后门代码需要用特定格式后缀解析,不能以图片后缀解析脚本后门代码(解析漏洞除外)如:jpg图片里面有php后门代码,不能被触发,所以连接不上后门如果要图片后缀解析脚本代码,一般会利用包含漏洞或解析漏洞,还有.user.ini&.htaccess.htaccess文件
  • [SUCTF 2019]CheckIn1 ғᴀɴᴛᴀsʏ web
    黑名单过滤后缀’ph',并且白名单image类型要有对应文件头对@eval($_POST['cmd']);,成功把getshell.gif上传上去了尝试用.htaccess将上传的gif当作php解析,但是失败了根据这篇文章.user.ini文件构成的PHP后门-phith0n(wooyun.js.org)上传.user.ini使用auto_prepend_file=将指定文件包含到当前目录下的p
  • [GXYCTF2019]BabyUpload1 ғᴀɴᴛᴀsʏ web
    尝试各种文件,黑名单过滤后缀ph,content-type限制image/jpeg内容过滤@eval($_POST['cmdjs']);上传.htaccess将上传的文件当作php解析蚁剑连接得到flag
  • 多线程编程之存钱与取钱 周凡杨 javathread多线程存钱取钱
      生活费问题是这样的:学生每月都需要生活费,家长一次预存一段时间的生活费,家长和学生使用统一的一个帐号,在学生每次取帐号中一部分钱,直到帐号中没钱时 通知家长存钱,而家长看到帐户还有钱则不存钱,直到帐户没钱时才存钱。   问题分析:首先问题中有三个实体,学生、家长、银行账户,所以设计程序时就要设计三个类。其中银行账户只有一个,学生和家长操作的是同一个银行账户,学生的行为是
  • java中数组与List相互转换的方法 征客丶 JavaScriptjavajsonp
    1.List转换成为数组。(这里的List是实体是ArrayList)   调用ArrayList的toArray方法。   toArray   public T[] toArray(T[] a)返回一个按照正确的顺序包含此列表中所有元素的数组;返回数组的运行时类型就是指定数组的运行时类型。如果列表能放入指定的数组,则返回放入此列表元素的数组。否则,将根据指定数组的运行时类型和此列表的大小分
  • Shell 流程控制 daizj 流程控制if elsewhilecaseshell
    Shell 流程控制 和Java、PHP等语言不一样,sh的流程控制不可为空,如(以下为PHP流程控制写法): <?php if(isset($_GET["q"])){ search(q);}else{// 不做任何事情} 在sh/bash里可不能这么写,如果else分支没有语句执行,就不要写这个else,就像这样 if else if if 语句语
  • Linux服务器新手操作之二 周凡杨 Linux 简单 操作
    1.利用关键字搜寻Man Pages    man -k keyword  其中-k 是选项,keyword是要搜寻的关键字 如果现在想使用whoami命令,但是只记住了前3个字符who,就可以使用 man -k who来搜寻关键字who的man命令       [haself@HA5-DZ26 ~]$ man -k
  • socket聊天室之服务器搭建 朱辉辉33 socket
    因为我们做的是聊天室,所以会有多个客户端,每个客户端我们用一个线程去实现,通过搭建一个服务器来实现从每个客户端来读取信息和发送信息。    我们先写客户端的线程。 public class ChatSocket extends Thread{ Socket socket; public ChatSocket(Socket socket){ this.sock
  • 利用finereport建设保险公司决策分析系统的思路和方法 老A不折腾 finereport金融保险分析系统报表系统项目开发
    决策分析系统呈现的是数据页面,也就是俗称的报表,报表与报表间、数据与数据间都按照一定的逻辑设定,是业务人员查看、分析数据的平台,更是辅助领导们运营决策的平台。底层数据决定上层分析,所以建设决策分析系统一般包括数据层处理(数据仓库建设)。   项目背景介绍 通常,保险公司信息化程度很高,基本上都有业务处理系统(像集团业务处理系统、老业务处理系统、个人代理人系统等)、数据服务系统(通过
  • 始终要页面在ifream的最顶层 林鹤霄
    index.jsp中有ifream,但是session消失后要让login.jsp始终显示到ifream的最顶层。。。始终没搞定,后来反复琢磨之后,得到了解决办法,在这儿给大家分享下。。 index.jsp--->主要是加了颜色的那一句 <html> <iframe name="top" ></iframe> <ifram
  • MySQL binlog恢复数据 aigo mysql
    1,先确保my.ini已经配置了binlog:   # binlog log_bin = D:/mysql-5.6.21-winx64/log/binlog/mysql-bin.log log_bin_index = D:/mysql-5.6.21-winx64/log/binlog/mysql-bin.index log_error = D:/mysql-5.6.21-win
  • OCX打成CBA包并实现自动安装与自动升级 alxw4616 ocxcab
    近来手上有个项目,需要使用ocx控件 (ocx是什么? http://baike.baidu.com/view/393671.htm) 在生产过程中我遇到了如下问题. 1. 如何让 ocx 自动安装?     a) 如何签名?     b) 如何打包?     c) 如何安装到指定目录? 2.
  • Hashmap队列和PriorityQueue队列的应用 百合不是茶 Hashmap队列PriorityQueue队列
      HashMap队列已经是学过了的,但是最近在用的时候不是很熟悉,刚刚重新看以一次,   HashMap是K,v键 ,值     put()添加元素      //下面试HashMap去掉重复的 package com.hashMapandPriorityQueue; import java.util.H
  • JDK1.5 returnvalue实例 bijian1013 javathreadjava多线程returnvalue
    Callable接口: 返回结果并且可能抛出异常的任务。实现者定义了一个不带任何参数的叫做 call 的方法。 Callable 接口类似于 Runnable,两者都是为那些其实例可能被另一个线程执行的类设计的。但是 Runnable 不会返回结果,并且无法抛出经过检查的异常。        ExecutorService接口方
  • angularjs指令中动态编译的方法(适用于有异步请求的情况) 内嵌指令无效 bijian1013 JavaScriptAngularJS
            在directive的link中有一个$http请求,当请求完成后根据返回的值动态做element.append('......');这个操作,能显示没问题,可问题是我动态组的HTML里面有ng-click,发现显示出来的内容根本不执行ng-click绑定的方法!     
  • 【Java范型二】Java范型详解之extend限定范型参数的类型 bit1129 extend
    在第一篇中,定义范型类时,使用如下的方式:   public class Generics<M, S, N> { //M,S,N是范型参数 }  这种方式定义的范型类有两个基本的问题:   1. 范型参数定义的实例字段,如private M m = null;由于M的类型在运行时才能确定,那么我们在类的方法中,无法使用m,这跟定义pri
  • 【HBase十三】HBase知识点总结 bit1129 hbase
    1. 数据从MemStore flush到磁盘的触发条件有哪些?    a.显式调用flush,比如flush 'mytable'    b.MemStore中的数据容量超过flush的指定容量,hbase.hregion.memstore.flush.size,默认值是64M 2. Region的构成是怎么样? 1个Region由若干个Store组成
  • 服务器被DDOS攻击防御的SHELL脚本 ronin47
    mkdir /root/bin vi /root/bin/dropip.sh #!/bin/bash/bin/netstat -na|grep ESTABLISHED|awk ‘{print $5}’|awk -F:‘{print $1}’|sort|uniq -c|sort -rn|head -10|grep -v -E ’192.168|127.0′|awk ‘{if($2!=null&a
  • java程序员生存手册-craps 游戏-一个简单的游戏 bylijinnan java
    import java.util.Random; public class CrapsGame { /** * *一个简单的赌*博游戏,游戏规则如下: *玩家掷两个骰子,点数为1到6,如果第一次点数和为7或11,则玩家胜, *如果点数和为2、3或12,则玩家输, *如果和为其它点数,则记录第一次的点数和,然后继续掷骰,直至点数和等于第一次掷出的点
  • TOMCAT启动提示NB: JAVA_HOME should point to a JDK not a JRE解决 开窍的石头 JAVA_HOME
    当tomcat是解压的时候,用eclipse启动正常,点击startup.bat的时候启动报错; 报错如下:   The JAVA_HOME environment variable is not defined correctly This environment variable is needed to run this program NB: JAVA_HOME shou
  • [操作系统内核]操作系统与互联网 comsci 操作系统
         我首先申明:我这里所说的问题并不是针对哪个厂商的,仅仅是描述我对操作系统技术的一些看法       操作系统是一种与硬件层关系非常密切的系统软件,按理说,这种系统软件应该是由设计CPU和硬件板卡的厂商开发的,和软件公司没有直接的关系,也就是说,操作系统应该由做硬件的厂商来设计和开发
  • 富文本框ckeditor_4.4.7 文本框的简单使用 支持IE11 cuityang 富文本框
    <html xmlns="http://www.w3.org/1999/xhtml"> <head> <meta http-equiv="Content-Type" content="text/html; charset=UTF-8" /> <title>知识库内容编辑</tit
  • Property null not found darrenzhu datagridFlexAdvancedpropery null
    When you got error message like "Property null not found ***", try to fix it by the following way: 1)if you are using AdvancedDatagrid, make sure you only update the data in the data prov
  • MySQl数据库字符串替换函数使用 dcj3sjt126com mysql函数替换
    需求:需要将数据表中一个字段的值里面的所有的  .   替换成  _   原来的数据是  site.title  site.keywords  .... 替换后要为     site_title  site_keywords   使用的SQL语句如下:   updat
  • mac上终端起动MySQL的方法 dcj3sjt126com mysqlmac
    首先去官网下载: http://www.mysql.com/downloads/ 我下载了5.6.11的dmg然后安装,安装完成之后..如果要用终端去玩SQL.那么一开始要输入很长的:/usr/local/mysql/bin/mysql 这不方便啊,好想像windows下的cmd里面一样输入mysql -uroot -p1这样...上网查了下..可以实现滴. 打开终端,输入: 1
  • Gson使用一(Gson) eksliang jsongson
    转载请出自出处:http://eksliang.iteye.com/blog/2175401 一.概述 从结构上看Json,所有的数据(data)最终都可以分解成三种类型: 第一种类型是标量(scalar),也就是一个单独的字符串(string)或数字(numbers),比如"ickes"这个字符串。 第二种类型是序列(sequence),又叫做数组(array)
  • android点滴4 gundumw100 android
    Android 47个小知识 http://www.open-open.com/lib/view/open1422676091314.html Android实用代码七段(一) http://www.cnblogs.com/over140/archive/2012/09/26/2611999.html http://www.cnblogs.com/over140/arch
  • JavaWeb之JSP基本语法 ihuning javaweb
      目录   JSP模版元素  JSP表达式  JSP脚本片断  EL表达式  JSP注释  特殊字符序列的转义处理  如何查找JSP页面中的错误   JSP模版元素    JSP页面中的静态HTML内容称之为JSP模版元素,在静态的HTML内容之中可以嵌套JSP
  • App Extension编程指南(iOS8/OS X v10.10)中文版 啸笑天 ext
             当iOS 8.0和OS X v10.10发布后,一个全新的概念出现在我们眼前,那就是应用扩展。顾名思义,应用扩展允许开发者扩展应用的自定义功能和内容,能够让用户在使用其他app时使用该项功能。你可以开发一个应用扩展来执行某些特定的任务,用户使用该扩展后就可以在多个上下文环境中执行该任务。比如说,你提供了一个能让用户把内容分
  • SQLServer实现无限级树结构 macroli oraclesqlSQL Server
    表结构如下: 数据库id path titlesort 排序 1 0 首页 0 2 0,1 新闻 1 3 0,2 JAVA 2 4 0,3 JSP 3 5 0,2,3 业界动态 2 6 0,2,3 国内新闻 1 创建一个存储过程来实现,如果要在页面上使用可以设置一个返回变量将至传过去   create procedure test as begin decla
  • Css居中div,Css居中img,Css居中文本,Css垂直居中div qiaolevip 众观千象学习永无止境每天进步一点点css
    /**********Css居中Div**********/ div.center { width: 100px; margin: 0 auto; } /**********Css居中img**********/ img.center { display: block; margin-left: auto; margin-right: auto; }
  • Oracle 常用操作(实用) 吃猫的鱼 oracle
    SQL>select text from all_source where owner=user and name=upper('&plsql_name');  SQL>select * from user_ind_columns where index_name=upper('&index_name');  将表记录恢复到指定时间段以前
  • iOS中使用RSA对数据进行加密解密 witcheryne iosrsaiPhoneobjective c
      RSA算法是一种非对称加密算法,常被用于加密数据传输.如果配合上数字摘要算法, 也可以用于文件签名. 本文将讨论如何在iOS中使用RSA传输加密数据. 本文环境 mac os  openssl-1.0.1j, openssl需要使用1.x版本, 推荐使用[homebrew](http://brew.sh/)安装. Java 8 RSA基本原理 RS
按字母分类: ABCDEFGHIJKLMNOPQRSTUVWXYZ其他