IIS源码泄露及文件类型解析错误

漏洞介绍:IIS是微软推出的一款webserver,使用较为广泛,在支持asp/asp.net的同时还可以较好的支持PHP等其他语言的 运行。但是80sec发现在IIS的较高版本中存在一个比较严重的安全问题,在按照网络上提供的默认配置情况下可能导致服务器泄露服务器端脚本源码,也可 能错误的将任何类型的文件以PHP的方式进行解析,使得恶意的攻击者可能攻陷支持PHP的IIS服务器,特别是虚拟主机用户可 ...

演示网站已经更新为 XKLog V0.9

   折腾了一会儿,终于上线了。

   演示地址:www.xklog.cn

  由于演示网站的主机是 Windows 全能主机,也就是说采用的是 Windows + IIS + PHP + MySQL。这导致 XKLog V0.9 不能发挥出全部功能(例如伪静态,缓存等)。

  由于演示空间在国内,我关闭了演示站点的评论功能。看来唯一能够体现出来的新功能只有无限级分类了(汗)。

  开 ...

XKLog V0.9 新特性之一【缓存系统】

  XKLog V0.9 使用了全新的缓存系统。系统默认支持文件和共享内存两种缓存方式。根据需要,用户还可以添加和使用自己的缓存方式。

  文件缓存适用于所有允许文件读写的服务器环境。共享内存缓存需要服务器加载 shmop 扩展,但是拥有比文件缓存更高的性能。

 

PHP代码
  1. // 实例化缓存类   
  2. $cache = connect_cache( ...

PHP5中的Class/Object函数

class_exists — 判定一个类是否已经被定义
get_class_methods — 获取某个类中所有方法的名称
get_class_vars — 获取一个类中所有的特性
get_class — 返回一个方法所在的类名
get_declared_classes — 显示已定义的类的信息
get_declared_int ...

XKLog V0.9 代码回滚

  这次代码回滚的目的是从底层上对代码进行优化,充分利用 PHP5 面向对象的特性,并建立一个通用的 PHP 框架和用户中心。

  仅作通报,不再赘言。

phpwind 论坛银行插件刷分方法

本文为本人原创,于华夏黑客联盟首发,转载请注明出处。

  这个 Bug 的历史相当古老,从 PW 4.3.2 开始就存在。

  官方对 Bug 的描述:MySQL 在自动转换整型数据时存在溢出,导致会员可以提交恶意数据进行刷积分。

  听他的口气好像完全是 MySQL 的错似的。事实上这应该归咎于 PW 程序员没有充分理解 is_numeric 函数的特性。is_numeric 函数不仅支持十进制数字, ...