XXE二三事

in 安全研究,Web,PHP read (2747)

什么是XXE XXE是XML外部实体注入,详细介绍可以参考OWASP的介绍,https://www.owasp.org/index.php/XML_External_Entity_(XXE)_Processing 为何一直实验不成功 之前我一直在自己的ubuntu14.04...

继续阅读

CI提供了钩子这种特性,可以在不修改核心文件的情况下用来修改框架内部执行流程。 全局来看,是否开启钩子可以在APPPATH/config/config.php中进行修改,而hooks的配置则在APPPATH/config/hooks.php中进行定义,具体如何实现可以参考官...

继续阅读

在包含完common.php中的函数后,开始真正的进行一些列的工作。 先是做一些安全方面的处理问题,如果PHP的版本<=5.4,那么会进行防注册全局变量的操作,因为注册全局变量的功能在PHP5.3开始被废弃,并且在PHP5.4以后被移除了。 紧接着设置了错误处理: ...

继续阅读

这篇文章,我们来分析typecho的路由部分,在我看来路由一直是很NB的东西,现在我们一起来分析一下typecho的路由到底是怎么个东西。 相关文件 typecho中的路由相关的文件不多,只存放于/var/Typecho/Router.php和/var/Typecho/...

继续阅读

这篇文章我们来分析一下config.php这个文件,这个是配置管理类,用于管理各种配置的。 /var/Typecho/Config.php 这个类是有迭代器的接口的,这个需要注意一下。 这个类中有个$_currentConfig变量存储了当前的配置,构造函数中调用了se...

继续阅读

lightless

Stay Hungry. Stay Foolish.