跳到主要內容

網站弱點掃描幾個問題

 1.盲目的LDAP注入

主要是特殊符號的關係,前後台的輸入都要過濾掉下面文字:
=
>
<
|
&
!
\\
*
(
)
\x00
%29
%7C
%28
%3D

不過經過多次的測試,這項弱點多是誤判,例如在「有傳入值印出B,不然印出C」的情況下,假如傳入的值經過篩選後變成空值,卻還是印出C,很容易就會造成誤判。

因此如果已經篩選掉上面的文字了,卻還是不能過關,很有可能程式的流程也要修改,盡量避免無傳入值還是會印出資料的狀況。假如一定要這樣寫的話,就要檢查傳入值的存在(isset),不要用有無(empty)。

2.低強度密碼組合 - ROBOT攻擊:伺服器支援有漏洞的密碼組合

在httpd.conf中加入下面三行:
SSLProtocol all -SSLv2 -SSLv3
SSLHonorCipherOrder off
SSLCipherSuite ECDHE-ECDSA-AES128-GCM-SHA256:ECDHE-RSA-AES128-GCM-SHA256:ECDHE-ECDSA-AES256-GCM-SHA384:ECDHE-RSA-AES256-GCM-SHA384:ECDHE-ECDSA-CHACHA20-POLY1305:ECDHE-RSA-CHACHA20-POLY1305:DHE-RSA-AES128-GCM-SHA256:DHE-RSA-AES256-GCM-SHA384


3.查詢中的Password參數

GET、POST不能使用「word」「author」等關鍵字。

標籤:

留言

張貼留言

這個網誌中的熱門文章

2017宮崎鹿兒島(二)高千穗町內交通

進入高千穗景點之前,必須再提一下高千穗內的交通情況, 1.步行 請看下圖: 以「巴士中心」為基準,藍色的「高千穗鐵道」「高千穗神社」「高千穗峽」是一小時內可以走得到的景點,紅色是千萬不要走也走不到的景點,白色箭頭是地勢高低,「高千穗神社」到「高千穗峽」是很陡的下坡,去程很輕鬆,回程會很辛苦。 「天岩戶神社」「天安河原」之間走路可到,但從千萬不要想從「巴士中心」走到「天岩戶神社」,一望無際的梯田,會走到你懷疑人生的價值(笑),兩邊只能搭公車或計程車。 「國見之丘」不管從哪裡都沒有大眾交通工具,只能搭計程車。 2.計程車 高千穗巴士中心旁就是計程車中心,有非常清楚的價目表、所需時間等等資訊,假如是平日而且有三四個人的話,計程車絕對是最好的選擇。價目表如下: 3.巴士 高千穗的巴士有兩種,但班次都很少: a.平日有的 ふれあいバス http://www.town-takachiho.jp/industry/bus/entry090908332.html b.只有週末跟國定假日開的 回遊バス http://www.miyakoh.co.jp/bus/rosen/takachiho_kaiyuu.html 普通只有「天岩戶神社-巴士中心」,「高千穗峽-巴士中心」兩種路線會需要搭巴士,兩種巴士的站名不太一致,簡易說明如下: 「天岩戶神社-巴士中心」: 「ふれあいバス」的「宮交バスセンター」到「岩戶」,「回遊バス」的「高千穂バスセンター」到「天岩戸神社」 「高千穗峽-巴士中心」: 「ふれあいバス」在高千穗峽沒有站牌,「回遊バス」的「高千穂バスセンター」到「高千穂峡」。 非常強烈建議要去高千穗玩的遊客,盡量選擇週末假日前往,巴士班次多很多,也比較可能「宮崎-高千穗」一日遊,如果一定要平日去的話,計程車大概是唯一的選擇了。
張貼留言
閱讀完整內容

2018宮城山形岩手(下)

猊鼻溪 「猊」是獅子的意思,猊鼻溪兩側布列各種峭壁奇岩,其中有一處特別像「猊鼻」,因而得名。 來溪邊自然是要搭船遊玩的,猊鼻溪的玩法是「撐蒿」,就是船頭用長竹竿刺進水裡推動小船前進,在無噪音的影響下,靜靜的欣賞大自然的傑作。 其中一段溪面如鏡,溪上疊疊翠綠,溪裡層層青山,配上一首船歌,真是「欸乃一聲山水綠」。 船歌「猊鼻追分」 https://www.youtube.com/watch?v=3M-Z253OrGE 猊鼻溪的招牌 船行的終點,接下來要走一小段路去看「猊鼻」。 渾然天成的美景。 右邊就是「猊鼻」了,中間下面有個小岩洞,可以買「運玉」來試試運氣。 100元買5顆「運玉」,上面有各種吉祥文字。 只要把運玉丟進岩壁的小洞裡,就可以拿到一張證書。 仙台市區 瑞鳳殿 瑞鳳殿是伊達政宗的靈廟,多彩繁複的裝飾是「安土桃山」時代的風格,和常見的神社寺廟差異甚大,可惜本尊毀於二戰空襲,現在是重建的。 參道旁的石燈籠都是伊達家名將供奉的,第一次有被「戰國時代」包圍的感覺。 瑞鳳殿建在小山丘上,步道兩側古木參天。 瑞鳳殿的「涅槃門」。 瑞鳳殿的正面,華麗繁複的裝飾,是日本十分少見的風格。 瑞鳳殿近照。 參道旁名將供奉的石燈籠。 瑞鳳殿除了供奉伊達政宗以外,他的兒子跟孫子也葬在這裡,建築幾乎一模一樣。 仙台市區 仙台城 仙台城是伊達政宗所建,雖然沒有天守閣,但也是規模巨大的城池,可惜歷來火災、地震不斷,最後又遭遇空襲,現在只剩地基了。 伊達政宗銅像是仙台地標中的地標,只要介紹到仙台的節目一定會來這裡拍攝,觀光客也很多。從這裡也能眺望仙台市區,遠遠看到的白色觀音像,是著名的仙台大觀音,創建於25年前,是世界第六高的雕像。 仙台城僅存的石垣。 城址只剩地基了。 遠眺,中間是仙台大觀音。 仙台最具代表性的地標,伊達政宗像。 南三陸観洋 海景與溫泉 這次的溫泉旅館是南三陸観洋,這裡最大的賣點就是「無‧敵‧海‧景」。由於建在海邊峭壁上,所有的房間都面海,而且都有整面牆的大窗戶毫無遮蔽的讓你24小時看海看到爽。 峭壁上的露天溫泉是這裡的特色,因為不能拍照,只好貼官網了: http://www.m...
張貼留言
閱讀完整內容

2016鳥取島根岡山之旅(三)

松江站身輕便(松江駅身がる便) 松江站提供的行李寄送服務,服務對象是宍道湖溫泉和玉造溫泉的住宿客,服務時間為早上九點到下午三點,三點以後會開始配送行李到各個旅館,通常五點前就會送到了。 對不想拎著行李逛街的人來說非常方便,反正都要寄放行李,不如寄到旅館,而且還只要500円,大型行李櫃都還要700円說,實在很划算。 能送到的旅館只限「松江市內」,也就是位在「宍道湖溫泉」和「玉造溫泉」的溫泉旅館。 參考網址: http://www.kankou-matsue.jp/information/service/ http://www.saninji.jp/1930 實際寄送方式如下: 1.到JR松江站以後抬頭就會看到一個看板,照著看板指示前往「南口」的「臨時寄物處」(荷物一時預り所)。 2.由於臨時寄物處在站外,如果一下子找不到的話可以先找到寄物櫃,也就是コインロッカー(Coin Lockers) 3.寄物櫃旁邊就會看到這個招牌,繼續沿著站外走。 4.路上會一直有標示,指引前往臨時寄物處。 5.這裡就是了,別看有派出所就怕了,就是這裡沒錯。 6.跟裡面的人說要寄到哪裡,他會幫你寫好寄送位置,你只要寫名字就好,寫跟旅館訂房間的名字,如果訂房時只有一個名字,寫那個人就可以了。 7.可能會問你有沒有手機號碼,不過大部分人就算有也打不通,說沒有也沒關係。 8.最後會拿到一張收據,理論上要憑收據到旅館櫃檯領行李,不過溫泉旅館秉著服務至上的精神,只要訂房名字沒錯的話,就會直接幫你放到房間裡。
張貼留言
閱讀完整內容