来源：https://www.exploit-db.com/exploits/37602/

背景

ZenPhoto 是一款小巧的相册软件，具备 RSS 输出、FTP 上传方式、Tag、评论回复等功能。基于 PHP+MySQL 环境，它的主旨是简单，这也就是说不管是用户还是网站管理员，都可以很容易的使用它。

关于二阶注入，上一篇文章有写过Second Order SQL Injection

漏洞复现

访问

http://localhost:8888/zenphoto-zenphoto-1.4.8/zp-core/admin-options.php?saved&tab=gallery

找到Sort gallery by字段，设置为Custom，并在custom filed字段后面输入id,extractvalue(0x0a,concat(0x0a,(select version())))%23，最后点Apply

背景

从乌云平台公开的案例来看，大部分的SQL注入漏洞均发生在单个HTTP请求和响应中，也就是说要触发漏洞，需经过以下步骤：

• 客户端请求构造payload并发起请求
• 服务端执行了payload
• 客户端收到响应结果

而二阶（Second Order）SQL注入相对来说更隐晦一些，需经过以下步骤：

• 客户端构造payload并发起请求
• 服务端存储payload
• 客户端发起另一请求
• 服务端执行了存储的payload
• 客户端收到响应结果

可以对比看到，二阶注入很隐蔽，很难被黑盒测试检测到，这也是现在各大漏洞平台二阶注入案例少的原因之一吧。

分析

二阶可以理解为两步吧，当将用户的输入存储在某个地方，然后在另一处功能的SQL语句中使用它的时候，既没有进行正确的过滤也没有使用参数化查询，这就造成了二阶注入。至于它的影响的话和普通SQL注入没什么差别。

来源https://www.exploit-db.com/exploits/39459/

背景

在逛exploit-db的时候，发现这个漏洞有点意思，就拿过来自己分析了下。Redaxo CMS是一套开源的Web门户内容管理系统（CMS），该系统支持自定义模块、插件扩展、项目备份等。

审计

根据报错信息可以定位到该文件，/redaxo-cms-5.0.0/redaxo/src/addons/mediapool/pages/media.php，第582行-608行

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22
23
24
25
26
27
28
29

...
 $where = 'f.category_id=' . $rex_file_category;
    $addTable = '';
    if ($media_name != '') {
        $media_name = str_replace(['_', '%'], ['\_', '\%'], $media_name);
        $where = "(f.filename LIKE '%" . $media_name . "%' OR f.title LIKE '%" . $media_name . "%')";
        if (rex_addon::get('mediapool')->getConfig('searchmode', 'local') != 'global' && $rex_file_category != 0) {
            $addTable = rex::getTablePrefix() . 'media_category c, ';
            $where .= ' AND f.category_id = c.id ';
            $where .= " AND (c.path LIKE '%|" . $rex_file_category . "|%' OR c.id=" . $rex_file_category . ') ';
        }
    }
    if (isset($args['types'])) {
        $types = [];
        foreach (explode(',', $args['types']) as $type) {
            $types[] = 'LOWER(RIGHT(f.filename, LOCATE(".", REVERSE(f.filename))-1))="' . strtolower(htmlspecialchars($type)) . '"';
        }
        $where .= ' AND (' . implode(' OR ', $types) . ')';
    }
    $qry = 'SELECT * FROM ' . $addTable . rex::getTablePrefix() . 'media f WHERE ' . $where . ' ORDER BY f.updatedate desc, f.id desc';
    // ----- EXTENSION POINT
    $qry = rex_extension::registerPoint(new rex_extension_point('MEDIA_LIST_QUERY', $qry, [
        'category_id' => $rex_file_category,
    ]));
    $files = rex_sql::factory();
//   $files->setDebug();
    $files->setQuery($qry);
    ...

也就是

概述

Server-Side Request Forgery即我们平常所说的SSRF攻击，翻译过来也就是服务器端请求伪造。漏洞的本质就是攻击者通过应用的正常功能（分享、转码、翻译、图片加载/下载、图片/文章收藏等）使服务器作为代理来访问到原本无法访问到的内网资源。

危害

为了更清楚的认识到SSRF可以干什么，我写了个存在SSRF漏洞的PHP小程序

1
2
3
4
5
6
7
8
9
10
11
12
13
14
15
16
17
18
19
20
21
22

<?php 
// getContent.php
if (isset($_POST['url'])) {
	$url = $_POST['url'];
	$curl = curl_init();
	curl_setopt($curl, CURLOPT_POST, true);
	curl_setopt($curl, CURLOPT_URL, $url);
	curl_setopt($curl, CURLOPT_RETURNTRANSFER, true);
	$result = curl_exec($curl);
	curl_close($curl);
	$filename = 'user'.rand().'.txt';
	file_put_contents($filename, $result);
	echo $result;
}
?>

来源：http://www.contextis.com/resources/blog/security-http-headers

前言

当谈论到web应用安全，我们经常考虑到的是：过滤用户的输入、加密渠道传递数据和使用安全的函数这些明显的点，而忽略在web安全上HTTP返回头部和现代web浏览器相结合产生的正面影响，这篇文章试图阐明HTTP Headers对web安全的主动和被动影响。

主动安全

我们查阅OWASP推荐的HTTP Headers，下面这些headers能够被利用起来主动地增加web应用的安全性。

X-Frame-Options

0x01 背景

iWebShop是一款基于PHP语言开发b2b2c开源多用户商城系统，支持平台自营和多商家入驻、微信商城系统、手机商城系统、移动端商城系统、APP商城系统等多功能性的购物平台系统。

0x02 审计

框架简介

iWebshop是单一入口系统，所有的处理都要通过入口文件index.php来运行。
系统框架对当前URL路径进行分析，找到controller(控制器)和action(动作)，去调用控制器文件里面的动作方法。
在action动作中可以读取数据，处理业务逻辑，然后把完成的数据渲染到视图，给终端客户呈现出来。

漏洞概况

关于漏洞

漏洞发生的前提：

1、Redis 服务暴露在公网

2、Redis 配置未设置口令或弱口令

3、Redis 配置文件未设置 Bind ip

4、Redis 服务所在机器开启了 SSH 服务，且默认 22 端口对外开放

说明：第1点中 Redis 服务暴露公网的情况下，若使用的是默认端口 6379，则很容易被黑客全网批量扫描到。

实验

首先在一台虚拟机（inet 10.0.100.210）中安装了 redis，完全采用默认配置（意味着未设置 Bind ip，未设置口令）

1
2

[root@localhost redis-3.0.5]# ps -ef | grep redis
root      4448  3629  0 15:24 pts/2    00:00:00 src/redis-server *:6379

另外，可以看到 Redis 还是以 root 用户启动运行的。