网站内容战略:1,丰富的网站内容:丰富网站内容是很重要的。网站内容越丰富,网站越专业,用户越喜欢,搜索引擎也越喜欢;2.添加部分原创内容:采集系统将垃圾场制作成了生产垃圾场,因此完全没有原创内容的网站内容丰富,但也不喜欢搜索引擎。所以一个网站应该尽可能地拥有一些原创内容。小型网站不需要打开子域名称。大中型网站需要开设子域名称。如果不选择好子域名称和目录,搜索引擎在包含网站时很容易出现问题。通常,打开子域名称的站点目录和内容很多,两个目录之间的关联性较低。
thinkphp在国内来讲,许多站长以及平台都在运用这套开源的体系来建站,为何会这么深受人人的喜好,第一开源,便利,高效,生成静态化html,第二框架性的易于开发php架构,许多第三方的插件以及第三方的开发公司较多,模板能够自定义设想,在thinkphp的基础上能够开发许多大型的假造币平台,以及会员平台,商城体系,thinkPHP的官方在体系升级方面做的比较完善,实时更新与修复一些BUG。
现在官方最新版本是ThinkPHP5.0.20版本,之前的ThinkPHP3.2,ThinkPHP3.1、ThinkPHP3.0都存在过网站破绽,包括一些高危的长途代码实行破绽,thinkphp sql注入破绽,背景管理员XSS跨站破绽,恣意文件上传破绽等等。现在我们SINE平安于2018年9月5号,在一样平常的thinkphp网站平安检测当中,发明某客户运用的thinkphp体系存在着网站sql注入破绽,危害性较高,一入手下手认为客户运用的是较低版本:thinkphp 3.2.3,才会存在这类网站破绽,但是在现实的平安检测当中发明不仅仅是这个版本,还包括了现在最新版本5.0.20,关于该网站破绽的概况与poc应用,我们一步一步来剖析。
网站平安检测thinkphp破绽发生道理
发生网站破绽的文件存在于library文件夹下的think文件,内里包括的db文件夹的
driver.class.php代码中的第677行入手下手,在order处置惩罚剖析的时刻发明剖析参数里能够插进去不法的
字符,在key赋值的时刻并没有做严厉的平安限定与过滤,致使进击者能够运用SQL注入语句进
行组织查询数据库里的内容,包括能够查选数据库里的管理员账号密码, 写入数据库等等的操纵。
thinkphp 3.2.3破绽代码以下:
/**
* order剖析
* @access protected
* @param mixed $order
* @return string
*/
protected function parseOrder($order) {
if(is_array($order)) {
$array = array();
foreach ($order as $key=>$val){
if(is_numeric($key)) {
$array[] = $this->parseKey($val);
}else{
$array[] = $this->parseKey($key).’ ‘.$val;
}
}
$order = implode(‘,’,$array);
}
return !empty($order)? ‘ ORDER BY ‘.$order:”;
}
ThinkPHP 5.1.22破绽代码存在于library文件夹下的think文件里的db/query.php
代码里的第1514行,代码以下:
/**
* 指定排序 order(‘id’,’desc’) 或许 order
([‘id’=>’desc’,’create_time’=>’desc’])
* @access public
* @param string|array $field 排序字段
浏览器信任的 IP SSL证书申请仅需1-3天
百度搜索引擎有专用路径,关键字出现后自然优先,一个网站最重要的是内容。因为如果网站没有优质的文章,不仅是搜索引擎,也没有办法吸引更多的潜在消费者。采集的内容可能都不是原创的。最好只有满足用户需求的原创和非原创内容。
* @param string $order 排序
* @return $this
*/
public function order($field, $order = null)
{
if (empty($field)) {
return $this;
} elseif ($field instanceof Expression) {
$this->options[‘order’][] = $field;
return $this;
}
if (is_string($field)) {
if (!empty($this->options[‘via’])) {
$field = $this->options[‘via’] . ‘.’ . $field;
}
if (strpos($field, ‘,’)) {
$field = array_map(‘trim’, explode(‘,’, $field));
} else {
$field = empty($order) ? $field : [$field => $order];
}
} elseif (!empty($this->options[‘via’])) {
foreach ($field as $key => $val) {
if (is_numeric($key)) {
$field[$key] = $this->options[‘via’] . ‘.’ . $val;
} else {
$field[$this->options[‘via’] . ‘.’ . $key] = $val;
unset($field[$key]);
}
}
从以上thinkphp 3.2.3 、thinkphp 5.0的代码里能够剖析出来,当order在剖析关联函数的时刻会赋值于key值中,能够掺入sql注入语句实行进击网站,并能够拼接体式格局绕过sql平安过滤,致使能够实行sql语句,查询数据库,操纵数据库。
thinkphp破绽应用概况:
thinkphp破绽修复发起:
假如是低版本的thinkphp 3.*的体系,请尽快升级到thinkphp最高版本。
假如是高版本的thinkphp 5.*的体系,请尽快升级到thinkphp最高版本。
假如网站被进击了,请尽快做好网站的平安备份,查找网站存在木马后门,对其代码里被改动的代码举行修复,并做好网站平安加固,对一些缓存文件夹举行平安权限设置,假如对网站破绽修复不是太懂的话能够找专业的网站平安公司去处置惩罚,国内SINE平安公司,绿盟平安,启明星斗都是比较专业的。假如网站运用的是零丁服务器比方linux体系、windows体系,能够布置网站防火墙,来防备sql注入进击。网站默许的管理员背景地点能够修改成比较烦琐的地点。
网站SEO优化的六个主要阶段。第一阶段:关键词选择;第二阶段:改善网站体系结构;第三阶段:网站内容战略;第四阶段:优化和改善网页细节;第五阶段:制作和提交网站地图;第六阶段:制定附加反向链接计划。根据竞争对手网站的关键词来决定长尾关键词。查看竞争对手网站的原始文件,了解有哪些关键词,选择好的关键词,然后扩展,变成长尾关键词。(威廉莎士比亚、温斯顿、竞争对手、竞争、竞争、竞争、竞争、竞争、竞争、竞争。
检查组入驻滴滴 回应称:积极认真配合检查组各项工作
本网站部分素材来源网络,如有侵犯,请联系删除!作者:wesipy,如若转载,请注明出处:http://www.kpxlt.com/archives/32138
微信扫一扫 
支付宝扫一扫 