原章出处在这里!顶一个 又学习了亿点点
本论坛免费邀请码MJJ们需要请点击时空隧道进行注册点这 传送:[链接登录后可见]
哎,技术贴
这么强的技术贴我先收藏一下
#1 rm-rf/* 昨天太晚了,刚看了下这个帖子 [链接登录后可见] 。 这TMD太狠了吧
#6 James 刚刚看了看这个,咱登录其实除了前端加验证码,后端还可以限制一下每个ip每分钟可登录的次数和一个用户名的登录次数,应该在一定程度上能减缓他攻击
本来之前有人提过自定义CSS功能,我是想做进来的,现在看,太恐怖了。这个自定义CSS放进来,全是提权洞了。
#7 James 是谁把他封了
#7 James 我说的是自定义背景图,和我有何干系
#7 James 这个对检查代码的要求很高,但是可以屏蔽一些像<>的字符应该就可以避免吧
#8 削除禁止 忘记了,不会是你吧。
#8 削除禁止 [链接登录后可见] 是我,,我也不知道有着风险了,本来我还想给自己的论坛加上呢,幸亏我懒,还没加。
#9 James 在这个论坛我算是见识到了,漏洞多的一批
#9 James 我和你又没仇
#11 丰仔 攻击的时候会使用一些转义字符来绕过检测的。反正这里安全性隐患是有的。
#13 James 想自定义成啥样可以和站长说,花点能量,自己自定义不确定因素太多了
#13 James 转义字符不是一般不被执行吗?只是输出到前端有这个符号而已,难道有些转义字符可以被执行?
#16 丰仔 CSS全转义了就解析不了啦。
#17 丰仔 这个现在有的,waf检测到了会封ip。
#18 James 就是一部分转义,同时去除包含phar或<>这种可能出发漏洞的字符,就是有点麻烦
#19 James 这个可以在论坛程序里面再设置一下,要是换着ip破一个用户的密码waf就比较难防
长亭的waf感觉还可以嘛
#22 Adapter 个人感觉比宝塔好用点