用PHP编写好的源码,如果不想被其它人直接利用怎么办?首先想到的是加密,但现在除了Zend 5加密还比较难破解外,其它的加密方式都不堪一击。即使不破解,不怀好意的人同样可以使用你的源码搭建一个和你一模一样的一个网站。这岂不是使你的劳动成果白白的被别人占为己有。下面介绍一种方法即限制域名的方法来保护你的源代码不被直接拷贝运行。
域名授权代码可封装进函数,或者进行加密,对于常用的PHP加密形式,都有其破解的方法,比如ZendGuard、ionCube等,如果授权的域名较多,可以在项目中增加域名字段,将域名写入数据库再进行读取和校验.
微信支付做了有一定时间了,现在就来做一些知识的总结,总体来说微信支付的文档不是非常的完美,其中存在一些问题。虽然坑很多,但是还是把问题解决了。 微信支付的收货地址共享功能,主要是统一的管理微信用户个人的收货地址,其收货地址可以被应用于所有可以调用的开发者。用户的收货地址包含了很多个人信息,因此该接口必须要通过申请,申请的方式可以在mp平台上查看到。 申请开通 包含微信支付功能时,则需要配置微信的支付目录(支付目录为绝对路径,例如支付接口为wxpay.php,而该文件在wxpay目录下,那么支付目录必须写成
https://www.secquan.org/Discuss/1071471大佬太惨了,正好我有圈子账号,我们就一起浏览了一位圈子大神的的代码审计
unionid来区分用户的唯一性,在相同微信开放平台帐号下的移动应用、网站应用、小程序、公众号,用户的unionid是唯一的。也就是说,同一用户,对同一个微信开放平台下的不同应用,unionid是相同的。
HMAC(散列消息认证码) 使用密钥和散列函数对消息进行加密,并用结果生成一个数字签名。
域名授权代码可封装进函数,或者进行加密,如果授权的域名较多,可以在项目中增加域名字段,将域名写入数据库再进行读取和校验。
CRMEB v4支持Lunix/windows服务器环境,需要PHP7.1 ~ 7.3 版本支持, 可运行于包括Apache和nginx在内的多种WEB服务器和模式,支持Mysql数据库,引擎用InnoDB。框架本身没有什么特别模块要求,具体的应用系统运行环境要求视开发所涉及的模块。 CRMEB底层运行的内存消耗极低,而本身的文件大小也是轻量级的,因此不会出现 空间和内存占用的瓶颈。
1、授权登陆按钮和正文信息放到了同一个页面,未授权的时候显示登陆按钮,已授权的时候隐藏登陆按钮,显示正文信息,当然也可以授权和正文分开成两个页面,在授权页面的onload里判断是否已授权,若已授权就直接跳转正文的页面。这里只说授权按钮和正文在同一页面的情况。
业务逻辑漏洞,是由于程序逻辑不严谨或逻辑太过复杂,导致一些逻辑分支不能正常处理或处理错误,这样的漏洞统称为业务逻辑漏洞。
某靶场题目的通关记录,反正是不知道叫啥~ 打开页面之后, 在右上角这一块有注册和登录 a.jpg 那没的说,有这个,必定是先注册登录一波。 登录之后跳转到个人中心, 看到有一个修改头像的地方~ 📷 接下来…… 上图片马还是直接上一句话? 嗯……要不还是来个一句话试试先~ 📷 直接小手点一点插件,发现是PHP的脚本语言。 📷 来个PHP的一句话马~ 到 位 了~ 尝试看看能不能直接上马,但是… 📷 那就打开BP来拦包~ 📷 上传个正常的图片抓个包看看~ 📷 发现内容是加密传输的,那就…… 整上 保留
现在很多服务器都封禁了25端口,导致博客的邮件通知没法运行,借鉴vps侦探的文章,搭建了msmtp发送邮件。
REST的全称是REpresentational State Transfer,表示表述性无状态传输,无需session,所以每次请求都得带上身份认证信息。rest是基于http协议的,也是无状态的。只是一种架构方式,所以它的安全特性都需我们自己实现,没有现成的。建议所有的请求都通过https协议发送。RESTful web services 概念的核心就是“资源”。 资源可以用 URI 来表示。客户端使用 HTTP 协议定义的方法来发送请求到这些 URIs,当然可能会导致这些被访问的”资源“状态的改变。HTTP请求对应关系如下:
前段时间去面试了一下阅文集团的技术岗,也有好几个朋友找我要面试题,今天就分享一下 阅文集团起点中文网是怎么面试的,我也说不清楚,我好像不属于正规流程,自我介绍什么的我都没有说过 ? 一面是电话,二面是
作者最近这几天写了一个shell脚本准备进行出售,由于单独出售利润不大,决定将脚本按照IP进行授权,出售授权,这样可以增加利润。
最近接到新的需求,需要在公众号引入微信支付。之前微信支付方式使用过Native当面付以及H5支付。Native支付有两个弊端所在:
phpMailer 是一个非常强大的 ph p发送邮件类,可以设定发送邮件地址、回复地址、邮件主题、html网页,上传附件,并且使用起来非常方便。
· 处理服务器错误(40x或50x),使用定制页面代替web服务页面。
REST API 安全设计指南。REST 全称是 Representational State Transfer,它利用传统 Web 特点,提出一个既适于客户端应用又适于服务端的应用的、统一架构,极大程度上统一及简化了网站架构设计。
JWT可以取代以往的基于 COOKIE/SESSION 的鉴权体系,是目前最热门跨域鉴权的解决方案,接下来从 JWT 的原理,到 PHP 示例代码,简单说明业务怎样使用 JWT 进行授权验证。
全新Storm+Core+API管理系统源码+免授权版,本系统为API系统,实现了api集成等基础功能,以后可能会更新key调用api,或者实现付费功能,敬请期待,前端模板均无加密,用户可自行二开,具体请看图
现在很多PHP程序都需要ZendOptimizer环境,但是ZendOptimizer在PHP5.2之后已经被支持,那怎么办,Zend也不会这么做,原来PHP5.3开始ZendOptimizer正式改为Zend Guard Loader。 Zend Guard Loader的发布,而且Zend Optimizer不会再更新,并且由于差异很大使用Zend Guard加密代码时将提示你是否使用php5.3,如果使用5.3那么代码就无法在php5.2上运行。 Zend Guard Loader安装说明 1.下载Zend Guard Loader包。(官方地址:http://www.zend.com/en/products/guard/downloads) Linux: x86:http://downloads.zend.com/guard/5.5.0/ZendGuardLoader-php-5.3-linux-glibc23-i386.tar.gz x64:http://downloads.zend.com/guard/5.5.0/ZendGuardLoader-php-5.3-linux-glibc23-x86_64.tar.gz Windows: http://downloads.zend.com/guard/5.5.0/ZendGuardLoader-php-5.3-Windows.zip 2. 并提取ZendGuardLoader.so(Linux)或ZendLoader.dll(Windows)上传到服务器。 3. 加载ZendGuardLoader,配置PHP.INI 例子: zend_extension=C:\web\PHP\ext\ZendLoader.dll zend_loader.enable=1 zend_loader.disable_licensing=0 zend_loader.obfuscation_level_support=3 zend_loader.license_path= 下面逐一说明: 注意windows版的只支持NTS(非线程安全)版的PHP5.3,即phpinfo中Thread Safety为disabled的! 在你的php.ini文件中添加以下行: Linux和Mac OS X:zend_extension=<ZendGuardLoader.so的绝对路径> Windows的非线程安全的:zend_extension=<ZendLoader.dll的绝对路径> 4. 添加下面这行加载ZendGuardLoader: ;启用加载编码脚本。默认开启 zend_loader.enable=1 5. 可选:配置ZendGuardLoader ;禁用检查授权(出于性能原因) zend_loader.disable_licensing=0 ;配置混淆水平 0 – 不支持混淆 zend_loader.obfuscation_level_support=3 ;配置寻找授权文件的路径 zend_loader.license_path= 6. 如果你同时使用Zend debugger,请保证加载Zend guard Loader后再加载Zend debugger 7. 如果你同时使用Ioncube loader,请保证加载Ioncube loader后再加载Zend guard Loader 8. 重启Web服务。 如果在phpinfo中看到如下内容(不同的版本可能会有所不同): This program makes use of the Zend Scripting Language Engine:Zend Engine v2.4.0, Copyright (c) 1998-2011 Zend Technologies 说明安装已经成功!
现在很多PHP程序都需要ZendOptimizer环境,但是ZendOptimizer在PHP5.2之后已经被支持,那怎么办,Zend也不会这么做,原来PHP5.3开始ZendOptimizer正式改为Zend Guard Loader。 Zend Guard Loader的发布,而且Zend Optimizer不会再更新,并且由于差异很大使用Zend Guard加密代码时将提示你是否使用php5.3,如果使用5.3那么代码就无法在php5.2上运行。 Zend Guard Loader安装说明
AntiVirus,一款扫描当前使用主题可能存在恶意代码的WordPress插件,主要扫描主题模板中存在的不知名代码和加密代码。扫描后将结果给出供管理员手动判断确认病毒。
这篇文章笔者整理了目前所见到过的大部分Webshell网站管理工具,这里只对这些工具做了简单介绍,并没有写具体使用方式,大家如果有兴趣可以自己去看一下使用说明,同时也欢迎大家补充一些类似工具。
声明:该公众号大部分文章来自作者日常学习笔记,也有少部分文章是经过原作者授权和其他公众号白名单转载,未经授权,严禁转载,如需转载,联系开白。请勿利用文章内的相关技术从事非法测试,如因此产生的一切不良后果与文章作者和本公众号无关。
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。它是有三部分组成,示例如下,具体的讲解如下(jwt 是不会有空行的,下面只是为了显示,便使用了换行看着比较方便)。
apache apache文件多后缀名解析漏洞 与其说这是一个漏洞,不如说这是一个特性,很多程序员不知道这种特性,所以会写出有问题的代码。 特性:多后缀名(全版本都有这个特性) apache在解析一个
本公众号提供的工具、教程、学习路线、精品文章均为原创或互联网收集,旨在提高网络安全技术水平为目的,只做技术研究,谨遵守国家相关法律法规,请勿用于违法用途。
在Web发展初期由于对安全问题认知认识不足,导致发生过许多的安全问题,且遗留下许多历史问题:如PHP语言至今只能依靠较好的代码规范来防范文件包含漏洞,而无法从语言本身来杜绝此类安全问题的发生。常见的安全漏洞:SQL注入、XSS攻击、CSRF。
题目地址:https://www.mozhe.cn/bug/detail/NDU3RnFGTitFdUlaOXNlNFp6QzUydz09bW96aGUmozhe
为了方便用户使用小程序时,使用微信账号授权快速登录软件,微信小程序提供了相关的授权接口。小程序可以通过微信官方提供的登录能力方便地获取微信提供的用户身份标识,快速建立小程序内的用户体系。以便但是对于新手来说,配置起来还是有些难度。
中心化数据、大数据的今天,很多行业系统、架构已经跟不上现代思维,这也是个人致力想要去开发、打造的系统。
生成应用私钥和应用公钥后,复制应用公钥,在 [ 开发中心—小程序应用—选择小程序-设置–开发设置–设置接口加密方式 ]
https://github.com/Mr-xn/BurpSuite-collections/blob/master/%E6%B8%97%E9%80%8F%E6%B5%8B%E8%AF%95%E9%9D%A2%E8%AF%95%E9%97%AE%E9%A2%982019%E7%89%88.md
(例如17350886066加密后+eupvMFtSc0E7veMi+XCgQ==)
2017-02-0111:11:26 发表评论 521℃热度 1.全站 HTTPS 趋势 2.专有名词介绍 3.网站申请证书 4.总结 目录 HTTPS(全称:HyperText Transfer Protocol over Secure Socket Layer),其实 HTTPS 并不是一个新鲜协议,Google 很早就开始启用了,初衷是为了保证数据安全。 近两年,Google、Apple、Facebook 等这样的互联网巨头,不谋而合地开始大力推行 HTTPS, 国外的大型互联网公司很多也都
b、端口,弱口令,目录等扫描,对响应的端口进行漏洞探测,比如 rsync,心zang出血,mysql,ftp,ssh弱口令等。
RSA算法是现今使用最广泛的公钥密码算法,也是是号称地球上最安全的加密算法,与 md5 和 sha1 不同,到目前为止,也只有极短的RSA加密被破解
研究认证相关的安全问题也有一段实践了,今天就对认证相关的安全问题做个总结。其中涉及到一些前置概念这里无法一一讲解,可以在相关RFC文档或者链接中深入阅读,笔者已经把相关资料整理收录在参考链接。本文更多的是对认证相关的安全问题做个总结。另外文中引用了一些网络中的图片,由于来源不一,所以就不逐个标明,在此一并感谢。
Redis(Remote Dictionary Server ),即远程字典服务,是一个开源的使用ANSI C语言编写、支持网络、可基于内存亦可持久化的日志型、Key-Value数据库,并提供多种语言的API
JSON Web Token(缩写 JWT)是目前最流行的跨域认证解决方案。它是有三部分组成,示例如下,具体的讲解如下(jwt是不会有空行的,下面只是为了显示,便使用了换行看着比较方便)。
在开发Api时,处理客户端请求之前,需要对用户进行身份认证,Laravel框架默认为我们提供了一套用户认证体系,在进行web开发时,几乎不用添加修改任何代码,可直接使用,但在进行api开发时,需要我们自己去实现,并且Laravel框架默认提供的身份认证不是jwt的,需要在数据库中增加api_token字段,记录用户认证token并进行身份校验,如果需要使用jwt,无需添加字段,需要借助三方库来实现。
冰蝎一款新型加密网站管理客户端,在实际的渗透测试过程中有非常不错的效果,能绕过目前市场上的大部分WAF、探针设备。本文将通过在虚拟环境中使用冰蝎,通过wireshark抓取冰蝎通信流量,结合平时在授权渗透中使用冰蝎马经验分析并总结特征。
说到版权的问题往往都是很多人津津乐道的话题,中国的版权意识是很差的,于是乎,各种盗版主题满天飞。作者辛辛苦苦做的收费主题被人各种复制,于是很多人开始折腾主题域名授权。
最近很长时间没有更新了,思考了一个事情,关注了几十个技术类公众号,每天都有更新,基本都是大篇幅的解读某一技术,从入门到精通,有的没得写,从旧文章里面又翻新继续发,所以,每天能从这么多公众号里汲取的东西,接地气的东西,很少,所以我想着,把公众号当作一个技术路上的记事本,或者纠错本,记录每一个技术点。
领取专属 10元无门槛券
手把手带您无忧上云