专栏首页FreeBuf打造刀郎安全PHP系统

打造刀郎安全PHP系统

有一段时间没有露面的,现在出来和各位打个招呼,今天给大家带来话题是打造安全php系统,web安全防不胜防,那么我们怎么尽可能的做到安全啦?

Web方面注入,xss防不胜防,但是最终的结果是上传php木马到web服务器中,进行下载网页源代码,或者dump数据库。

注入和xss是网页代码的问题,不同的程序员水平和经验不一样,开发出来的安全性肯定不一样,那么我想到的方法是在上传木马上做文章。

扯了这么多,先给大家看一段代码

<?daolangecho "hello world";?>

这段代码是不是写错了?正常情况下应该不能跑的,但是在我刀郎的服务器中是正常运行的,恰恰正常代码不能在我服务器中跑。

<?echo "hello world";?>

那么我们怎么打造这样的刀郎安全php服务器啦?

第一步查找php关键标识符

这里我用Source Insight 4.0,搜索整个php源代码查找<?,排查后发现在Zend/zend_language_scanner.l这个文件中,

第二步 修改标识符

下面是我已经修改后的

保存。

第三步 生成C文件

我们需要重新生成zend_language_scanner.c

re2c --no-generation-date --case-inverted -cbdF -o zend_language_scanner.c  zend_language_scanner.l

第四步 编译源代码

4.1 安装需求库

 apt-get install gcc  make automake autoconf libtool bison flex libxml2-dev apache2-dev re2c

4.2 开始编译代码

./configure --with-apxs2=/usr/bin/apxsmake

4.3配置php环境

4.3.1 安装apache2

apt-get install apache2

service apache2 start4.3.2 修改配置文件

4.3.3 重启apache2

service apache2 start

4.4 感慨

现在国家在大力推广ipv6,未来面对的机遇和挑战更多,大家准备好了吗?哎实在编不下去了,最后一句话,大家想我吗?

*本文原创作者:刀郎,本文属FreeBuf原创奖励计划,未经许可禁止转载

本文分享自微信公众号 - FreeBuf(freebuf)

原文出处及转载信息见文内详细说明,如有侵权,请联系 yunjia_community@tencent.com 删除。

原始发表时间:2018-07-23

本文参与腾讯云自媒体分享计划,欢迎正在阅读的你也加入,一起分享。

我来说两句

0 条评论
登录 后参与评论

相关文章

  • 挖洞姿势:特殊的上传技巧,绕过PHP图片转换实现远程代码执行(RCE)

    我使用了一个特殊的图片上传技巧,绕过PHP GD库对图片的转换处理,最终成功实现了远程代码执行。 事情是这样的。当时我正在测试该网站上是否存在sql注入漏洞,不...

    FB客服
  • 漫谈攻击链:从WebShell到域控的奇妙之旅

    做渗透测试时遇到的域环境经常就是要么太复杂我们搞不定,要么太简单进去就拿到域控没啥意思,这些显然都无法满足我们实践已掌握知识的刚需。同时为了给我们道格安全技术小...

    FB客服
  • 一次对个人服务器入侵事件的调查

    这一切还要从我收到的通知邮件:“Your server is sending spam”说起。首先要说的是,这台服务器是用来运行之前项目的静态网站,并不保存关键...

    FB客服
  • 功能点方法核心思想是什么?功能点估算方法有哪些优势?

    功能点方法的核心思想是把软件系统按照组件进行分解,从而确定系统的功能点数量。功能点方法是一种预测软件系统总规模的方法。通过量化系统功能来度量软件的规模,这种度量...

    软件造价评估联盟
  • 如何通过 cos 托管静态网站

    近期发现腾讯云的COS服务竟然支持部署静态网站了,故写本文记录分享最新版COS部署静态网站过程。

    区城轩
  • Shapefile属性操作之增

    《Python空间数据处理实战》系列的博文好久都没有更新了,今天乘周末有点时间,补了个觉,然后写几篇博文。

    卡尔曼和玻尔兹曼谁曼
  • javaScript

    访问HTML元素元素可使用document.getElementById(id)方法

    金GoS
  • visudo切换账户免密码的配置方法

    二狗不要跑
  • Monte Carlo(MC) Policy Evaluation 蒙特·卡罗尔策略评估

    版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。 ...

    Steve Wang
  • iOS下使状态栏颜色与H5中背景色一致

    iOS 中有的页面也能会内嵌WebView,然后WebView中用H5做了一个导航,而iOS 中状态栏的颜色很难调整的与H5中导航颜色一致。如下图所示:

    Haley_Wong

扫码关注云+社区

领取腾讯云代金券