PHP-Casbin: 支持ACL、RBAC、ABAC多种模型的PHP权限管理框架 PHP

PHP-Casbin: 支持ACL、RBAC、ABAC多种模型的PHP权限管理框架

前言 PHP-Casbin 是一个用 PHP 语言打造的轻量级开源访问控制框架( https://github.com/php-casbin/php-casbin ),目前在 GitHub 开源。PHP -Casbin 采用了元模型的设计思想,支持多种经典的访问控制方案,如基于角色的访问控制 RBAC、基于属性的访问控制 ABAC 等。 概述 PHP-Casbin 的主要特性包括: 支持自定义请求的格式,默认的请求格式为{subject, object, action}; 具有访问控制模...
最新
阅读全文
调查 | 黑客将Python作为攻击编码语言的首选 Python

调查 | 黑客将Python作为攻击编码语言的首选

调查数据表明,目前的GitHub代码库中,有超过20%的网络攻击工具或PoC代码都是采用Python编写的。 最新的调查数据表明,Python已经变成了世界上最热门的编程语言了,而Python的热门风也刮到了信息安全领域中。Python,摇身一变,也变成了黑客开发网络攻击工具时的首选。 根据Imperva的监控数据显示,在今年6月底至9月中旬的所有针对网站的攻击事件中,有77%的网络攻击活动使用的都是基于Python的攻击工具。除此之外数据还显示,超过1/3的网络攻击事件中负责执行主要攻击任务的都是Python工具。 Imperva在其发布的报告中写到:“数...
阅读全文
PHP安全编码 PHP

PHP安全编码

验证过滤用户的输入 即使是最普通的字母数字输入也可能是危险的,列举几个容易引起安全问题的字符: ! $ ^ & * ( ) ~ [ ] | { } ' " ; < > ? - ` 在数据库中可能有特殊意义的字符: ' " ; 还有一些非打印字符: 字符x00或者说ASCII 0,NULL或FALSE 字符x10和x13,或者说ASCII 10和13,n r 字符x1a或者说ASCII 26,表示文件的结束 输入错误的参数类型,也可能导致程序出现意想不到的错误。 ...
阅读全文
创造tips的秘籍——PHP回调后门 PHP

创造tips的秘籍——PHP回调后门

0x00 前言 最近很多人分享一些过狗过盾的一句话,但无非是用各种方法去构造一些动态函数,比如$_GET['func']($_REQUEST['pass'])之类的方法。万变不离其宗,但这种方法,虽然狗盾可能看不出来,但人肉眼其实很容易发现这类后门的。 那么,我就分享一下,一些不需要动态函数、不用eval、不含敏感函数、免杀免拦截的一句话。 有很多朋友喜欢收藏一些tips,包括我也收藏了好多tips,有时候在渗透和漏洞挖掘过程中很有用处。 一句话的tips相信很多朋友也收集过好多,过狗一句话之类的。14年11月好像在微博上也火过一个一句话,当时也记印象笔记...
阅读全文
浅谈PHP弱类型安全 编程相关

浅谈PHP弱类型安全

0x00 弱类型初探 没有人质疑php的简单强大,它提供了很多特性供开发者使用,其中一个就是弱类型机制。 在弱类型机制下 你能够执行这样的操作 #!php <?php $var = 1; $var = array(); $var = "string"; ?> php不会严格检验传入的变量类型,也可以将变量自由的转换类型。 比如 在$a == $b的比较中 $a = null; $b = false; //为真 $a = ''; $b = 0; //同样为真 然而,php内核的开发者原本是想让程序员借由这种不...
阅读全文
浅谈PHP安全规范 编程相关

浅谈PHP安全规范

前言 php因天生支持web应用的开发,以其简单易学,开发效率高而备受喜爱。使其占据了大片的市场。但是php本身的安全问题却一直不曾消停,以及不规范的php代码编写规范,使得web应用漏洞百出。这篇文章从配置文件和代码编写角度出发,总结记录php相关安全。新手上路,向前辈致敬。 请充分了解你的php 基本信息 注意到以下的文件结构在新版本php或者不同的发行版中略有不同,就好比在ubuntu18.04中安装php7就和下面的文件结构有较大的差别,所以下面的文件仅仅作为一个apache的架构参考。  Root:/var...
阅读全文
伪造电子邮件以及制造电子邮件炸弹的攻防探讨 编程相关

伪造电子邮件以及制造电子邮件炸弹的攻防探讨

前言 想必熟悉 kali 或者接触过 smtp 相关分析的人都听说过 Swaks 这个工具。它号称 SMTP 界的瑞士军刀。工具会使固然厉害,但是不知道原理总觉得缺了点什么。于是我就用 Python 自己写了一个类似的工具,加上了邮件炸弹的功能,顺带分析一波原理。 SMTP 协议 SMTP 协议即简单邮件传输协议,属于 TCP/IP 协议簇,它是一组用于由源地址到目的地址传送邮件的规则,由它来控制信件的中转方式。SMTP 服务器则是遵循 SMTP 协议的发送邮件服务器,用来发送或中转发出的电子邮件。 SMTP 模型如下: 简单的通信过...
阅读全文
自己动手打造工具系列之自动刷新简历 编程相关

自己动手打造工具系列之自动刷新简历

0×00 背景 话说搞安全的大佬们都非常忙,自己在一步一步成长中无暇顾及其他琐碎的事情,比如让猎头注意到各位大佬。如何让猎头和大厂注意到自己呢?第一、提高自己在整个行业的曝光度;第二、定时刷新自己的简历;还有第三,第四等等,各位发挥脑洞。针对第一点,很多大佬各有自己的办法,但是针对第二点其实我们有全自动化的解决方案,可以为自己相对地节约点时间。小弟今天就带来自己动手打造工具系列之自动刷新简历。本文主要是针对喜欢写工具的童鞋提供一些思路,并一步一步地分析思路和方法,起一个抛砖引玉的作用吧。 0×01 方法及步骤 原理 本工具主要是使用selenium来操作浏览器...
阅读全文
linux操作系统的快捷键及命令讲解 编程相关

linux操作系统的快捷键及命令讲解

GNU是为Linux提供免费软件支持的工具;红帽与乌邦图都是Linux的一个版本。 Linux登入时登入名为root的是最高级别 Linux系统中的文件夹: /:根目标 bin:二进制可执行文件 lib:Linux的库文件 boot:启动文件 root:root用户文件 dev:设备信息文件 sbin:二进制可执行文件 etc:配置文件 tmp:临时文件 home:用户文件 图形化界面切换到纯字符界面指令:init 3;纯字符界面切换到图形化界面指令:init 5 热键: Tab:自动补全...
阅读全文
浅谈PHP防注入 PHP

浅谈PHP防注入

某年某月某日某时某分某秒,某人在阅读某PHP程序代码时,发现某处将输入“直接”带入查询语句,当他兴冲冲地抄起阿D时,却没有注入点(magic_quotes_gpc为off)。当他仔细查看代码时,也没发现过滤语句,这是怎么回事呢?实际上,这个程序用了预备查询技术。预备查询技术为何方神圣,且听危险漫步给各位慢慢道来。 预备查询技术实际上是将不完整的SQL语句(如:select * from xxx where id=?“?”是占位符)预先编译好,驻留于内存中,使用时不断将数据代入占位符并执行的一种技术。使用这种技术本意是想快速运行多个格式相同的SQL语句,但由于语句已经编译好,所以代人数据时就不存在...
阅读全文
浅谈PHP防注入 PHP

浅谈PHP防注入

某年某月某日某时某分某秒,某人在阅读某PHP程序代码时,发现某处将输入“直接”带入查询语句,当他兴冲冲地抄起阿D时,却没有注入点(magic_quotes_gpc为off)。当他仔细查看代码时,也没发现过滤语句,这是怎么回事呢?实际上,这个程序用了预备查询技术。预备查询技术为何方神圣,且听危险漫步给各位慢慢道来。 预备查询技术实际上是将不完整的SQL语句(如:select * from xxx where id=?“?”是占位符)预先编译好,驻留于内存中,使用时不断将数据代入占位符并执行的一种技术。使用这种技术本意是想快速运行多个格式相同的SQL语句,但由于语句已经编译好,所以代人数据时就不存在...
阅读全文
利用Python实现DGA域名检测 Python

利用Python实现DGA域名检测

前段时间爆发的利用永恒之蓝进行勒索及xshell等事件,各大厂家都站在不同的角度分析了相应的事件及程序,对于对逆向不了解看着的确很吃力。上段时间看到宫总及袁哥都在讲DNS对于分析这种攻击的可行性。 永恒之蓝和xshell事件有如下的特征: 1.  永恒之蓝中黑客预留了一个没有注册的域名,用于防护事件不受控制时,启用该域名可以抑制事件的扩大 2.  Xshell事件中黑客通过DNS的txt字段进行传输数据与指令 两起事件都有一个共同特征就是利用DNS来进行事件的...
阅读全文