[Attack][PHP] eXternal Entity XML (XXE)

Вводная: скрипт PHP принимает параметр в виде XML методом POST и возвращает значение переменной name

Задача: Получить доступ к файловой системе. Continue reading "[Attack][PHP] eXternal Entity XML (XXE)"

[WORDPRESS] Сайт ненадолго закрыт на техническое обслуживание. Зайдите через минуту.

Проблема: вместо сайта заглушка "Сайт ненадолго закрыт на техническое обслуживание. Зайдите через минуту."

Решение: Заглушка появляется во время обновления сайта. Подождите пару минут. Не помогло? За эту заглушку отвечает файл в корне сайта .maintenance. Грохаем и сайт снова с строю.

[NODE.js] npm proxy and strict-ssl setting

homedir/.npmrc

[PHP] Composer file could not be downloaded: SSL operation failed with code 1. OpenSSL Error messages:

[Composer\Downloader\TransportException]
The "https://qqqqqqqqqq.qq/artifactory/api/composer/php-composer/packages.json" file could not be downloaded: SSL operation failed with code 1. OpenSSL Error messages:
error:14090086:SSL routines:ssl3_get_server_certificate:certificate verify failed
Failed to enable crypto
failed to open stream: operation failed Continue reading "[PHP] Composer file could not be downloaded: SSL operation failed with code 1. OpenSSL Error messages:"

прячем wp-login.php от брутфорса

прячем средствами .htaccess

PARAM - заменяем на свой, например vhod
pustoj_fajl.php - по этому пути создаем пустой файл с этим именем

В результате при входе по адресу /wp-admin/ или wp-login.php будет отдаваться пустая страница
а по адресу wp-login.php?PARAM нормальная админка

здесь описано, как сделать с отдельным урлом

DNS от google

С некоторого времени гугл стал предоставлять бесплатный доступ к DNS сервера 8.8.8.8 и 8.8.4.4. Пользуйтесь на здоровье, ББ следит за вами 🙂