多玩某GM系统敏感信息泄漏
首先是svn泄漏,
http://qa.tank.duowan.com/manage/.svn/entries
但是发现svn查看不了什么文件,但是可以知道大概目录,直接访问久暴露了源码http://qa.tank.duowan.com/manage/sql/dbcfg.py
HOST = '127.0.0.1'
USER = 'tkgame'
PAWD = 'tkgame'
PORT = 0
DBNAME = 'tkt_manage'
#
EXECUTETYPE = 'update'
BUILDSQL = 'table_defines.sql'
UPDATELOG = 'update.ini'
UPDATETABLE = '_db_update_log'
BUILDUPDATESQL = '_db_update_log.sql'
BACKUPSQLPREFIX = 'bk_'
http://qa.tank.duowan.com/manage/sql/table_defines.sql
INSERT INTO `user` (`user_id`, `user_name`, `user_password`, `user_level`, `user_created`) VALUES
(1, 'sixcube', '6511383c766f89361b27f1d0d4f25956', 2, 1338946866);
http://qa.tank.duowan.com/manage/i18n/config.sh
ROOT_PATH=/var/www/wwwroot/tkt/manage
I18N_PATH=$ROOT_PATH/i18n
I18N_DOMAIN=tkt_manage
LANG_LIST=(`/usr/bin/php -q getLangList.php`);
LEN_OF_LANG_LIST=${#LANG_LIST[@]}
首先是svn泄漏,
http://qa.tank.duowan.com/manage/.svn/entries
但是发现svn查看不了什么文件,但是可以知道大概目录,直接访问久暴露了源码http://qa.tank.duowan.com/manage/sql/dbcfg.py
HOST = '127.0.0.1'
USER = 'tkgame'
PAWD = 'tkgame'
PORT = 0
DBNAME = 'tkt_manage'
#
EXECUTETYPE = 'update'
BUILDSQL = 'table_defines.sql'
UPDATELOG = 'update.ini'
UPDATETABLE = '_db_update_log'
BUILDUPDATESQL = '_db_update_log.sql'
BACKUPSQLPREFIX = 'bk_'
漏洞证明:
http://qa.tank.duowan.com/manage/sql/table_defines.sql
INSERT INTO `user` (`user_id`, `user_name`, `user_password`, `user_level`, `user_created`) VALUES
(1, 'sixcube', '6511383c766f89361b27f1d0d4f25956', 2, 1338946866);
http://qa.tank.duowan.com/manage/i18n/config.sh
ROOT_PATH=/var/www/wwwroot/tkt/manage
I18N_PATH=$ROOT_PATH/i18n
I18N_DOMAIN=tkt_manage
LANG_LIST=(`/usr/bin/php -q getLangList.php`);
LEN_OF_LANG_LIST=${#LANG_LIST[@]}
熱AI工具
Undresser.AI Undress
人工智慧驅動的應用程序,用於創建逼真的裸體照片
AI Clothes Remover
用於從照片中去除衣服的線上人工智慧工具。
Undress AI Tool
免費脫衣圖片
Clothoff.io
AI脫衣器
Video Face Swap
使用我們完全免費的人工智慧換臉工具,輕鬆在任何影片中換臉!
熱門文章
熱工具
記事本++7.3.1
好用且免費的程式碼編輯器
SublimeText3漢化版
中文版,非常好用
禪工作室 13.0.1
強大的PHP整合開發環境
Dreamweaver CS6
視覺化網頁開發工具
SublimeText3 Mac版
神級程式碼編輯軟體(SublimeText3)
說明PHP中的安全密碼散列(例如,password_hash,password_verify)。為什麼不使用MD5或SHA1?
Apr 17, 2025 am 12:06 AM
在PHP中,應使用password_hash和password_verify函數實現安全的密碼哈希處理,不應使用MD5或SHA1。1)password_hash生成包含鹽值的哈希,增強安全性。 2)password_verify驗證密碼,通過比較哈希值確保安全。 3)MD5和SHA1易受攻擊且缺乏鹽值,不適合現代密碼安全。
PHP和Python:比較兩種流行的編程語言
Apr 14, 2025 am 12:13 AM
PHP和Python各有優勢,選擇依據項目需求。 1.PHP適合web開發,尤其快速開發和維護網站。 2.Python適用於數據科學、機器學習和人工智能,語法簡潔,適合初學者。
PHP行動:現實世界中的示例和應用程序
Apr 14, 2025 am 12:19 AM
PHP在電子商務、內容管理系統和API開發中廣泛應用。 1)電子商務:用於購物車功能和支付處理。 2)內容管理系統:用於動態內容生成和用戶管理。 3)API開發:用於RESTfulAPI開發和API安全性。通過性能優化和最佳實踐,PHP應用的效率和可維護性得以提升。
PHP類型提示如何起作用,包括標量類型,返回類型,聯合類型和無效類型?
Apr 17, 2025 am 12:25 AM
PHP類型提示提升代碼質量和可讀性。 1)標量類型提示:自PHP7.0起,允許在函數參數中指定基本數據類型,如int、float等。 2)返回類型提示:確保函數返回值類型的一致性。 3)聯合類型提示:自PHP8.0起,允許在函數參數或返回值中指定多個類型。 4)可空類型提示:允許包含null值,處理可能返回空值的函數。
PHP的持久相關性:它還活著嗎?
Apr 14, 2025 am 12:12 AM
PHP仍然具有活力,其在現代編程領域中依然佔據重要地位。 1)PHP的簡單易學和強大社區支持使其在Web開發中廣泛應用;2)其靈活性和穩定性使其在處理Web表單、數據庫操作和文件處理等方面表現出色;3)PHP不斷進化和優化,適用於初學者和經驗豐富的開發者。
PHP和Python:解釋了不同的範例
Apr 18, 2025 am 12:26 AM
PHP主要是過程式編程,但也支持面向對象編程(OOP);Python支持多種範式,包括OOP、函數式和過程式編程。 PHP適合web開發,Python適用於多種應用,如數據分析和機器學習。
您如何防止PHP中的SQL注入? (準備的陳述,PDO)
Apr 15, 2025 am 12:15 AM
在PHP中使用預處理語句和PDO可以有效防範SQL注入攻擊。 1)使用PDO連接數據庫並設置錯誤模式。 2)通過prepare方法創建預處理語句,使用佔位符和execute方法傳遞數據。 3)處理查詢結果並確保代碼的安全性和性能。
PHP和Python:代碼示例和比較
Apr 15, 2025 am 12:07 AM
PHP和Python各有優劣,選擇取決於項目需求和個人偏好。 1.PHP適合快速開發和維護大型Web應用。 2.Python在數據科學和機器學習領域佔據主導地位。
