有时查查资料得上Google，今儿个折腾了一下，记录与此。由于CentOS7坑太多，把VPS系统换成Ubuntu16.04了。服务端设置安装 apt install python-pip && pip install shadowsocks 写配置文件在/etc/shadows...

Linux下使用Python自带命令提示符，不能删除输错的命令，先安装yum install readline-devel -y，然后重新编译就可以了。Python内置数据类型#程序注释，用于写上程序说明信息。注释不会被Python解释器当做代码执行import module_name 导入模...

危害：可能直接getshell产生原因：一般是过滤不严谨防御：在服务端采用白名单校验检查扩展名与MIME。检查文件内容来判断文件类型。​ 3. 对传过来的图片重新命名，并不显示上传到哪个路径。用GD库对图片重新渲染限制上传文件大小，以避免服务器资源耗尽(最低成本DDOS)。在中间件限制上传目录...

反射型攻击需要用户主动浏览恶意链接(可跳转到攻击者钓鱼页面)，有点儿像精准诈骗，去针对某一个人进行忽悠。用户点击后请求发到服务端，再由服务端返回客户端解析，触发攻击。<script>window.location='http://地址'</script> //...

危害：可以读取系统任意文件本地包含：你包含的内必须在服务器上，才能叫本地！ 包含的参数能够被控制，PHP采用的是include、require、include_once、include_once。将要包含的shell打包成压缩文件(支持什么格式的压缩？)，然后用phar://压缩包/要解析的包...