linux 網(wǎng)站服務(wù)器 如何防止網(wǎng)頁(yè)被注入

阿里云防火墻內(nèi)置多種防護(hù)策略，可選擇進(jìn)行SQL注入、XSS跨站、Webshell上傳、后門(mén)隔離保護(hù)、命令注入、非法HTTP協(xié)議請(qǐng)求、常見(jiàn)Web服務(wù)器漏洞攻擊、核心文件非授權(quán)訪問(wèn)、路徑穿越、掃描防護(hù)等安全防護(hù)網(wǎng)頁(yè)鏈接。

成都一家集口碑和實(shí)力的網(wǎng)站建設(shè)服務(wù)商，擁有專業(yè)的企業(yè)建站團(tuán)隊(duì)和靠譜的建站技術(shù)，十多年企業(yè)及個(gè)人網(wǎng)站建設(shè)經(jīng)驗(yàn) ,為成都近千家客戶提供網(wǎng)頁(yè)設(shè)計(jì)制作,網(wǎng)站開(kāi)發(fā),企業(yè)網(wǎng)站制作建設(shè)等服務(wù),包括成都營(yíng)銷型網(wǎng)站建設(shè)，高端網(wǎng)站設(shè)計(jì)，同時(shí)也為不同行業(yè)的客戶提供成都做網(wǎng)站、成都網(wǎng)站設(shè)計(jì)的服務(wù),包括成都電商型網(wǎng)站制作建設(shè),裝修行業(yè)網(wǎng)站制作建設(shè)，傳統(tǒng)機(jī)械行業(yè)網(wǎng)站建設(shè),傳統(tǒng)農(nóng)業(yè)行業(yè)網(wǎng)站制作建設(shè)。在成都做網(wǎng)站,選網(wǎng)站制作建設(shè)服務(wù)商就選創(chuàng)新互聯(lián)。

Linux cp命令，怎么跳過(guò)相同的文件

1、使用cp命令的-n參數(shù)即可跳過(guò)相同的文件 。

2、cp命令使用詳解：

1）、用法：cp [選項(xiàng)]... [-T] 源文件 目標(biāo)文件

或：cp [選項(xiàng)]... 源文件... 目錄

或：cp [選項(xiàng)]... -t 目錄 源文件...

將源文件復(fù)制至目標(biāo)文件，或?qū)⒍鄠€(gè)源文件復(fù)制至目標(biāo)目錄。

2）、長(zhǎng)選項(xiàng)必須使用的參數(shù)對(duì)于短選項(xiàng)時(shí)也是必需使用的。

-a, --archive 等于-dR --preserve=all

--backup[=CONTROL 為每個(gè)已存在的目標(biāo)文件創(chuàng)建備份

-b 類似--backup 但不接受參數(shù)

--copy-contents 在遞歸處理是復(fù)制特殊文件內(nèi)容

-d 等于--no-dereference --preserve=links

-f, --force 如果目標(biāo)文件無(wú)法打開(kāi)則將其移除并重試(當(dāng) -n 選項(xiàng)

存在時(shí)則不需再選此項(xiàng))

-i, --interactive 覆蓋前詢問(wèn)(使前面的 -n 選項(xiàng)失效)

-H 跟隨源文件中的命令行符號(hào)鏈接

-l, --link 鏈接文件而不復(fù)制

-L, --dereference 總是跟隨符號(hào)鏈接

-n, --no-clobber 不要覆蓋已存在的文件(使前面的 -i 選項(xiàng)失效)

-P, --no-dereference 不跟隨源文件中的符號(hào)鏈接

-p 等于--preserve=模式,所有權(quán),時(shí)間戳

--preserve[=屬性列表 保持指定的屬性(默認(rèn)：模式,所有權(quán),時(shí)間戳)，如果

可能保持附加屬性：環(huán)境、鏈接、xattr 等

-c same as --preserve=context

--sno-preserve=屬性列表 不保留指定的文件屬性

--parents 復(fù)制前在目標(biāo)目錄創(chuàng)建來(lái)源文件路徑中的所有目錄

-R, -r, --recursive 遞歸復(fù)制目錄及其子目錄內(nèi)的所有內(nèi)容

--reflink[=WHEN] 控制克隆/CoW 副本。請(qǐng)查看下面的內(nèi)如。

--remove-destination 嘗試打開(kāi)目標(biāo)文件前先刪除已存在的目的地

文件 (相對(duì)于 --force 選項(xiàng))

--sparse=WHEN 控制創(chuàng)建稀疏文件的方式

--strip-trailing-slashes 刪除參數(shù)中所有源文件/目錄末端的斜杠

-s, --symbolic-link 只創(chuàng)建符號(hào)鏈接而不復(fù)制文件

-S, --suffix=后綴 自行指定備份文件的后綴

-t, --target-directory=目錄 將所有參數(shù)指定的源文件/目錄

復(fù)制至目標(biāo)目錄

-T, --no-target-directory 將目標(biāo)目錄視作普通文件

-u, --update copy only when the SOURCE file is newer

than the destination file or when the

destination file is missing

-v, --verbose explain what is being done

-x, --one-file-system stay on this file system

-Z, --context=CONTEXT set security context of copy to CONTEXT

--help 顯示此幫助信息并退出

--version 顯示版本信息并退出

3）、默認(rèn)情況下，源文件的稀疏性僅僅通過(guò)簡(jiǎn)單的方法判斷，對(duì)應(yīng)的目標(biāo)文件目標(biāo)文件也

被為稀疏。這是因?yàn)槟J(rèn)情況下使用了--sparse=auto 參數(shù)。如果明確使用

--sparse=always 參數(shù)則不論源文件是否包含足夠長(zhǎng)的0 序列也將目標(biāo)文件創(chuàng)文

建為稀疏件。

使用--sparse=never 參數(shù)禁止創(chuàng)建稀疏文件。

4）、當(dāng)指定了--reflink[=always] 參數(shù)時(shí)執(zhí)行輕量化的復(fù)制，即只在數(shù)據(jù)塊被修改的

情況下才復(fù)制。如果復(fù)制失敗或者同時(shí)指定了--reflink=auto，則返回標(biāo)準(zhǔn)復(fù)制模式。

5）、備份文件的后綴為"~"，除非以--suffix 選項(xiàng)或是SIMPLE_BACKUP_SUFFIX

環(huán)境變量指定。版本控制的方式可通過(guò)--backup 選項(xiàng)或VERSION_CONTROL 環(huán)境

變量來(lái)選擇。以下是可用的變量值：

none, off 不進(jìn)行備份(即使使用了--backup 選項(xiàng))

numbered, t 備份文件加上數(shù)字進(jìn)行排序

existing, nil 若有數(shù)字的備份文件已經(jīng)存在則使用數(shù)字，否則使用普通方式備份

simple, never 永遠(yuǎn)使用普通方式備份

6）、有一個(gè)特別情況：如果同時(shí)指定--force 和--backup 選項(xiàng)，而源文件和目標(biāo)文件

是同一個(gè)已存在的一般文件的話，cp 會(huì)將源文件備份。

常見(jiàn)WEB攻擊之命令注入

即 Command Injection。是指通過(guò)提交惡意構(gòu)造的參數(shù)破壞命令語(yǔ)句結(jié)構(gòu)，從而達(dá)到執(zhí)行惡意命令的目的。

在Web應(yīng)用中，有時(shí)候會(huì)用到一些命令執(zhí)行的函數(shù)，如php中system、exec、shell_exec等，當(dāng)對(duì)用戶輸入的命令沒(méi)有進(jìn)行限制或者過(guò)濾不嚴(yán)導(dǎo)致用戶可以執(zhí)行任意命令時(shí)，就會(huì)造成命令執(zhí)行漏洞。

黑客將構(gòu)造好的命令發(fā)送給web服務(wù)器，服務(wù)器根據(jù)拼接命令執(zhí)行注入的命令，最后講結(jié)果顯示給黑客。

以DVWA為例，下面使用ping命令測(cè)試IP，正常輸入一個(gè)IP或者域名會(huì)返回一個(gè)正常的返回結(jié)果。

當(dāng)輸入惡意構(gòu)造的語(yǔ)句 netstat -an，會(huì)把后面的語(yǔ)句也給執(zhí)行了：

執(zhí)行結(jié)果：

PHP的常見(jiàn)命令執(zhí)行函數(shù)：

system()，exec()，shell_exec()，passthru()

1、system（）

system — 執(zhí)行外部程序，并且顯示輸出

常規(guī)用法：

使用PHP執(zhí)行：

php test1.php

exec — 執(zhí)行一個(gè)外部程序

3、shell_exec()

shell_exec — 通過(guò) shell 環(huán)境執(zhí)行命令，并且將完整的輸出以字符串的方式返回。

4、passthru()

passthru() 函數(shù)與 exec() 函數(shù)類似，執(zhí)行外部程序并且顯示原始輸出。

Windows：

用^轉(zhuǎn)義

如果加上單引號(hào)會(huì)寫(xiě)不進(jìn)去，如果加雙引號(hào)會(huì)把雙引號(hào)一起寫(xiě)進(jìn)去，所以要用^轉(zhuǎn)義

Linux：

linux下需要用來(lái)轉(zhuǎn)義，不過(guò)很多php都默認(rèn)開(kāi)啟gpc，可以先用16進(jìn)制轉(zhuǎn)換一句話再用xxd命令把16進(jìn)制還原.

?php eval($_POST[pass]);

轉(zhuǎn)換為16進(jìn)制：

3c3f706870206576616c28245f504f53545b706173735d293b3e

由于我用的是Linux，所以使用payload寫(xiě)入一句話：

寫(xiě)入成功：

1、采用白名單，或使用正則表達(dá)式進(jìn)行過(guò)濾。

2、不要讓用戶可以直接控制eval()、system、exec、shell_exec等函數(shù)的參數(shù)。

3、在進(jìn)入執(zhí)行命令函數(shù)和方法前，對(duì)變量進(jìn)行過(guò)濾，對(duì)敏感字符進(jìn)行轉(zhuǎn)義。

linux登錄密碼繞過(guò)

在登陸linux時(shí) 在知道登錄名的情況下 如果忘記登陸密碼

這里的登陸賬戶名是root

重啟linux 在登陸時(shí) 瘋狂按上下

然后按一次 e

按ctrl加X(jué)進(jìn)入 switch_root

輸入命令mount

可以發(fā)現(xiàn)權(quán)限變成了rw

輸入

然后輸入 passwd root

輸入倆次新密碼 密碼不能過(guò)于簡(jiǎn)單

輸入完之后 更新系統(tǒng)信息重啟

/sbin/init