点击按钮<input type="submit" name = "submit" value="确定" />
近期受到很多用蓝科lankecms网站源码做的网站的客户反馈首页文件index.html和m.html被篡改增加了跳转代码,导致从百度点击进来的直接跳转到世界杯体育网站上去,而且百度快照收录的标题也被篡改了,通过客户的叙述,发现此源码是用tp架构二次开发的,其中源码文件LoginAction.class.php和TextAction.class.php被作者加密了,具体内容无法解密,用的是混淆加密,被篡改的客户基本都是在同一时间批量被篡改,跳转的网址也是一致的,了解情况后我们SINE安全立即安全技术对客户网站进行排查和溯源。
本文主要和大家分享Apache http自动跳转到https的几种方法,当你的站点使用了HTTPS之后,你可能会想把所有的HTTP请求(即端口80的请求),全部都重定向至HTTPS。这时候你可以用以下的方式来做到:
当 PHP 在执行代码过程,在某一时刻我们希望它能跳转到某一特定位置继续执行代码,该怎么做呢?
1. 概述 上段时间一直忙于处理大会安全保障与应急,借助公司云悉情报平台,发现并处置几十起网站被劫持的情况。对黑客SEO技术颇有感觉。正好这段时间有时间,把以前遇到比较有趣的案例和大家分享一下。里面很多技术其实早已被玩透,只是网上搜了一下并无太多这方面的介绍。所以在这里共享一下相关的案例,案例主要分享一下思路。 1.1 原理 网站劫持是一个相对古老的技术,主要是黑帽用来做SEO用。实现网站劫持如果以下步骤: 入侵相关网站 然后在网站中插入JS或修改其配置文件,增加相应的劫持代码。另外一般会加入判断条件,判
国庆假日期间我们Sine安全接到众多网站站长求助网站标题被改导致在百度搜索中百度安全中心提醒被拦截,导致网站正常用户无法浏览网站被跳转到一些菠菜du博网站,而且很明显的一个特征就是在百度中搜索关键词的网站快照标题被修改成了一些与网站本身内容不相关的页面,而且发现网站首页文件如index.php或index.html被增加了一些可疑的加密代码。
原理: 签到页面先去检测本地的cookie,如果本地cookie和通过授权页面设置的不一致,视为未授权设备,直接跳转到指定的页面;如果一致,拉取用户的报名信息。 关键点: 1.微信内置的webview支持cookie和页面之间的JS跳转 2.微信扫一扫支持直接跳转到扫描结果 风险点: 1.生成二维码的接口都是调用第三方,不是自己控制,可能会挂掉 2.生成的二维码一般第三方都会有图片保存,不够安全 缺点: 1.使用微信扫一扫要先登陆微信,如果设备较多,需要足够的微信账号 后续优化: 1.目前接口
前天,张戈博客终于搞定了网站静态缓存下的移动端站点切换,从而也多了一个移动二级域名。于是又开始纠结这个 2 二级域名是否需要屏蔽搜索引擎的收录,毕竟内容一摸一样。 听 SEOer 们说,搜索引擎会将二级域名视为不同的 2 个站点,如此一来,我的移动站点是否要做相应的处理,就值得深思了。(如有清楚的站长,请告知,多谢~) 然而,就在今天百度搜索相关资料的时候,发现百度开放适配居然有三种方法...... 之前只注意到了百度开放适配的 sitemap 提交方法,张戈前后折腾了如下几篇文章: 1、百度开放适配专用
路由要从http redirect 到 https,可以改 nginx/apache 配置。如果不想在web server中做这些修改配置,可以尝试在laravel框架中解决
前几天,有一客户向我们SINE安全公司反映,网站在google上的推广已拒登,说什么网站存在恶意软件或垃圾软件,导致google广告无法上线,还发现网站从google搜索点击进去会直接跳转到其他网站上,直接输入网址不会跳转。客户自己尝试解决了很多天,解决不了,眼看着给公司带来了很大的损失,我们立即安排技术,对客户的网站安全进行全面的检测。
前段时间分享过利用 Meta 申明来做百度开放适配,前几天在解决 sitemap 报错问题时,看到了谷歌、雅虎及微软等搜索引擎开放适配方法,感觉有点意思,就折腾了下代码,现在来分享下。虽然她被墙了,但是我们应该怀着一颗乐观向上的心,随时迎接谷姐归来。。。 一、谷歌开放适配规则 对应 URL 举例: pc:http://zhangge.net/ 移动:http://m.zhangge.net meta 申明方法: a)pc 页面添加 meta: <link href=http://m.zhangge.net"
YOURLS 是 Your Own URL Shortener 的简写,YOURLS 是一个开源的 PHP 的程序,让你可以运行自己的 URL 缩短服务,我现在使用的 http://wpjam.com/go/xxx 形式的跳转链接就是通过 YOURLS 实现的。
题目源码如下: https://github.com/LoRexxar/HCTF2017-A-World-Restored
域名跳转 : 域名跳转就不多说了,几乎大家都知道,就是一个老的域名跳转到一个新的域名,例如当大家访问我的www.okay686.com的时候其实会自动跳转到www.okay686.cn。 <VirtualHost *:80> DocumentRoot "/data/wwwroot/test3.com" ServerName www.test3.com ServerAlias www.haha.com #<Directory /data/wwwroot/test3.com>
这些天,在给博客的标签页(tag)添加跳转和 META 动态申明时,居然让我醍醐灌顶,发现之前的动态适配的做法是多么的苦逼和小白! 总结前,先来回顾下小白张戈在移动适配这条道路上的摸爬滚打: 百度开放适配专用 sitemap 制作说明 360 站长平台移动适配文件制作说明 完美实现移动主题在 360 网站卫士缓存全开情况下的切换 移动搜索 SEO 分享:利用 Meta 声明来做百度开放适配 利用 Meta 申明来做百度、谷歌、雅虎、微软等搜索的开放适配 必须申明的是,本文的所有做法仅适合非响应式网站,并且需
本文实例讲述了ThinkPHP3.2.3框架实现的空模块、空控制器、空操作,跳转到错误404页面。分享给大家供大家参考,具体如下:
我的火狐浏览器默认主页是123.sogou.com 但是,我希望把我的首页变成百度。
近期发现公司网站首页文件经常被篡改为indax.php或indax.html,导致网站的功能无法正常使用,百度搜索关键词,在显示结果中点击公司网站,打开后跳转到别的网站上去了,尤其我们在百度做的推广,导致客户无法访问到我们公司网站上,给公司带来很大的影响,领导让尽快解决这个问题。这样的问题已经连续出现3次了找了建站公司也没有解决,反复篡改首页,比如今天我把文件删除替换掉后本地的备份文件,第二天立马又出现了,从网上查了些资料我才明白网站反复被篡改的原因。
如果你想找动漫图但是百度图片质量参差不齐,如果你想在网站做随机壁纸,可以试试这些API。
2、在inc下创建conn.php文件,用来连接数据库,代码就是上面连接数据库的代码
这道题算是比较基础的题目算是综合性比较强的简单题目,题目的大意是说flag分为3段,涉及到编码跳转以及信息收集能力,所以是一道比较有意思的题目。
一. 简单实例介绍 一般来说,apache配置好http和https后,如果想要做http强转到https,需要设置url重定向规则,大致需要下面几个步骤即可完成配置:
前言 上一篇大家讨论得很激烈嘛,这篇接着水!前文中遇到二个问题,问题一:不能同时定位多人;问题二:发送构造页面给女友,但是女友点击后看不到感兴趣的内容,容易产生怀疑。 本篇主要围绕这两个问题,我们接着
只会web正好又是php的审计题目,于是就把两道题都做了。大牛们都忙着破各种路由器,破各种设备去了,我也侥幸得了个第一:
原文地址:http://jingyan.baidu.com/article/574c5219d9bade6c8c9dc16c.html Discuz是国内使用人数最多的论坛社区开源程序,discuz x2.5是目前最新版本,其功能强大,对搜索引擎的优化也做的比较好,但是人无完人,金无足赤一直存在的portal.php尾巴是discuz x2.5存在的一点瑕疵,它影响了网站地址的统一性,设置门户为网站首页后,打开首页就会自动跳转到portal.php,这样对搜索引擎很不友好,所以去掉它很有必要,很多人都在寻找
原文地址:http://jingyan.baidu.com/article/574c5219d9bade6c8c9dc16c.html
直接开启了cc五秒盾的效果,所有未cookies验证的用户全部被拦截了,很影响用户的体验。实际上typecho是可以实现控制的,比如在模板设置里增加对cc五秒盾的开关,我看wordpress很早就有了相关的支持,然而除了我们这些个开发模板的之外,对于新手而言是完全不知道怎么做的,所以有必要写一篇文章来水一水。原本的策略只有cookies验证拦截,出现五秒盾,我在此基础上增加了对访问频率的识别跳转。所以现在的功能是,对访客的访问频率会先一步判断,根据用户自定义的范围,将频率过高的访客跳转向127.0.0.1,而没有达到频率的访客则会进行cookies验证,这样更大程序的对恶意流量攻击进行拦截,并且有效缓解了服务器的压力。 这样,还可以一定程度上拦截,攻击者伪装成的搜索引擎蜘蛛。 我建议的是,在没有被攻击的情况下,为了用户体验和搜索引擎的抓取,不要进行开启。同时服务器如果是linux的话,配合cckiller脚本两个一起,效果会更好。 废话不多说,教程开始: 1.下载我整理好的zip文件,解压后将里面的cc.php扔到typecho的模板目录。 2.修改模板的function.php,在themeConfig方法内,增加如下代码。
通过反向代理再加上缓存,现在很容易就能把别人的站给镜像克隆,这样会造成你网站被搜索引擎判断重复内容而降权,这样对于原创站点真的很不公平,虽然可以通过查询对方网站IP,然后在服务器上禁止这个IP的方法来禁止,但是对可以经常更换IP的对方网站或者对方套了CDN,就比较难操作,其实还可以再综合下面做法:
刚刚发现了一个漏洞素材,在这里和大家分享一下漏洞以及被利用的用途,这个漏洞乍一看风险不大,实际上被有心人利用起来,非常的可怕,毕竟很少有人会怀疑警察叔叔。
只需要用微信扫一下二维码,这个网站就可以展示你的微信昵称和头像,免去注册账号和输入密码登录的步骤,还免去设置头像和昵称的步骤,所以是挺方便的。
Blade是Laravel提供的一个既简单又强大的模板引擎,Blade允许在视图中使用原生php代码,所有Blade视图页面都将被编译成原生php代码并缓存起来,除非你的模板文件被修改了,否则不会重新编译。
Apache服务器: 如果需要整站跳转,则在网站的配置文件的标签内,键入以下内容:
IIS6.0路径:C:\WINDOWS\Help\iisHelp\common\403-4.htm
相信站长朋友们都对301跳转有一定的了解,知道在网站优化中可以帮助自己,但是有些站长朋友却对如何合理使用301跳转不太清楚,也不太了解301跳转究竟能帮助到我们什么?今天在这里,我们分享一些301跳转在SEO方面的应用,希望可以用来解决网站优化中比较难解决的问题。
在一般的系统中,当用户点击头像的时候,就会跳转到对应的个人详情页,在这个页面,他可以查看和修改自己的个人信息,或者更换头像。 本案例中,个人详情页使用bootstrap框架。 首先,我们新建一个html页面作为我的个人详情页。为了获取后台数据比较方便,这个详情页的文件格式我们就改为php。 在项目根目录新建一个user.php。 <html> <head> <meta charset="utf-8"> <title>个人详情页</title>
因为是一次做渗透而且又是靶场,所以信息搜集也就没有做,拿到靶场网址后直接打开网页看看有什么东西,发现了一个登录口,想着有登录那就有注册,所以思路就出来了:注册→登录-修改密码(越权)
这一小段时间对一些 CMS 进行代码审计,和一些 CVE 分析复现。总结一下几个案例的问题产生原因和利用思路。由于能力有限,挖掘到的都并非高危漏洞,旨在总结一下思路。仅是个人的一些理解,有些表述不当的地方,还请各位斧正。
先说一下实现了什么效果,app扫描php写的页面(也可以java网页,都一样的思路和步骤),扫描成功后跳转进入主页,光和你们这么说,肯定有人说了,没图说个啥,这就出来一个问题,很多人写博客,看这标题特别符合自己的问题,然后兴致勃勃的进来了,一看,我去…尼玛全是代码,也不知道是不是我的那种问题和想要的那种效果,心里没谱啊,好了,上图:
在linux系统下使用nginx作为web应用服务,用来提升网站访问速度的经验已五年多了,今天在此对nginx的使用做一简单总结。 一、nginx服务简介 Nginx是一个高性能的HTTP和反向代理服务器,也是一个 IMAP/POP3/SMTP代理服务器。Nginx 已经因为它的稳定性、丰富的功能集、示例配置文件和低系统资源的消耗而闻名了。 使用 Nginx 前必须了解的事项: 1)目前官方 Nginx 并不支持 Windows,您只能在包括 Linux、UNIX、BSD 系统下安装和使用; 2)Nginx
看到好多的网站都有在用go.php文件来做站外链接的跳转,已查阅大概是说这样可以不输出权重的,好奇感兴趣自己也网上找了一个来试试。
PHP有两种注释:单行注释(//),多行注释(/**/);ASP使用‘做注释符号。
一、Nginx安装(略) 安装的时候需要注意加上 --with-http_ssl_module,因为http_ssl_module不属于Nginx的基本模块。 Nginx安装方法: # ./configure --user=www --group=www --prefix=/usr/local/nginx --with-http_stub_status_module --with-http_ssl_module # make && make install 二、生成证书(略) 可以使用openssl生成证书
接口代码在调试时,经常是print_r或者var_dump来断点,但是当项目较为复杂的情况下,这么做效率就非常低下了,断点调试就非常好的解决了这个问题。一开始可能不太适应断点调试,但是当习惯之后,越用越舒服。
301跳转是指页面永久性移走,通常叫做301跳转,也叫301永久重定向,301跳转多用于旧网址在废弃前转向新网址以保证用户的访问,在诸多服务器中,均支持本跳转方法。
一、HSTS 协议 这里我们要借助一个新的安全协议:HSTS HSTS(HTTP Strict Transport Security)国际互联网工程组织 IETE 正在推行一种新的 Web 安全协议,作用是强制客户端(如浏览器)使用 HTTPS 与服务器创建连接。 主要目的是为了解决 HTTPS 网站首次请求时使用的是未加密的 HTTP 协议,也就说用户一般访问我们的网站都是直接在浏览器输入域名,比如 zhangge.net,然后我们的服务器检测到是 HTTP 请求,就 301 跳转到
前段时间网站被黑了,从百度打开网站直接被劫持跳转到了cai票,du博网站上去,网站的首页index.html文件也被篡改成一些什么北京sai车,pk10,一些cai票的关键词内容,搞得网站根本无法正常浏览,从百度搜索我们公司网址,直接被百度拦截,提示什么:百度网址安全中心提醒您:该页面可能存在违法信息!截图如下:
此前看到很多球球网站会使用调用默认浏览器打开网址,以达到防拦截又不丢失客户的方法 有幸找到此源码并做优化 优化说明: 把固定链接改成访问链接并调用手机默认浏览器打开当前访问的链接
HSTS(HTTP Strict Transport Security)国际互联网工程组织 IETE 正在推行一种新的 Web 安全协议,作用是强制客户端(如浏览器)使用 HTTPS 与服务器创建连接。
领取专属 10元无门槛券
手把手带您无忧上云