Phil Taylor 指出,PHPCaptcha的音频认证有漏洞,即使停用audio认证,用户也可以访问 /secure_play.php 强制通过。

解决办法:删除 securimage_play.php 脚本,并停用audio认证.

原文如下:

PHPCaptcha, also known as Securimage, is a popular Open Source PHP CAPTCHA library. It is also used in popular WordPress plugins such as

the ‘Fast Secure Contact Form’. Insufficient distortion in the audio version of the CAPTCHA allows an attacker to quickly decode the CAPTCHA

by performing basic binary analysis of the generated audio file. The issue is compounded by the fact that even if the audio feature of the

CAPTCHA has been disabled, it can still be accessed by forceful browsing to the /secure_play.php URI.


阅读全文

先来看看Xcopy的语法:

Xcopy

复制文件和目录,包括子目录。

语法

xcopy Source [Destination] [/w] [/p] [/c] [/v] [/q] [/f] [/l] [/g] [/d[:mm-dd-yyyy]] [/u] [/i] [/s [/e]] [/t] [/k] [/r] [/h] [{/a|/m}] [/n] [/o] [/x] [/exclude:file1[+[file2]][+[file3]] [{/y|/-y}] [/z]

参数

Source

必需的。指定要复制的文件的位置和名称。该参数必须包含驱动器或路径。

Destination

指定要复制的文件的目标。该参数可以包含驱动器盘符和冒号、目录名、文件名或者它们的组合。

/w

在开始复制文件之前将显示以下消息并等待您的响应:

Press any key to begin copying file(s)

/s

复制非空的目录和子目录。如果省略 /s,xcopy 将在一个目录中工作。

/q

禁止显示 xcopy 消息。


阅读全文

本文主要向大家介绍Unix系统的安全策略的一些常用命令。主要包括umask、cp、mv、cpio 和 crypt命令。

umask命令

umask设置用户文件和目录的缺省屏蔽值,若将此命令放入profile文件,就可控制该用户后续所建文件的存取许可。umask命令与chmod命令的作用正好相反,它告诉系统在创建文件时不给予某种存取许可。


阅读全文

名为TinKode和Ne0h的两名黑客已成功获得MySQL.com网站上的敏感信息,MySQL.com是流行的开源数据库网站。

黑客使用了SQL盲注攻击侵入网站,并泄露了全披露邮件列表(The Full Disclosure Mailing List)上的违规细节。

于2009年收购了Sun Microsystems,最近又新收购了MySQL的数据库部门的甲骨文公司,尚未承认这些违规行为。在网站上,SQL注入攻击利用网站漏洞是很常见的。这些漏洞可以让攻击者在数据库内执行查询等一些请求操作。如果数据库返回一个错误,精明的黑客利用这些信息就可以获得更广泛的访问,访问到包含基本数据的服务器。


阅读全文

作者的图片

DigDeeply

Technology Stack: PHP/Openresty/GoLang, and so on…

Web Develop Eneigneer

Beijing China