脚本宝典收集整理的这篇文章主要介绍了拒绝访问:我的姓氏正在作为php命令读入,脚本宝典觉得挺不错的,现在分享给大家,也给大家做个参考。
在尝试随机的事情之后,我尝试用不同的方式拼写我的姓(Fread).我放入了Frea,最后没有“d”.可悲的是,事情会再次奏效.在与一些朋友交谈后,他们帮助我排除故障,我们了解到Fread是一个PHP命令,我们意识到如果我们输入其他PHP命令,即fwrITe,我们也会得到一个访问被拒绝的页面.
问题解决了,除非没有.我不知道如何解决这个问题.我甚至不知道与谁阻止我交谈或联系.我的银行已经在这个问题上工作了2个月,并且在2周内没有更新我正在做的事情来解决这个问题.
不幸的是,我不能使用带有错误姓氏的信用卡,但仍然无法登录我的银行帐户,因为fread是我用户名的一部分.我将不胜感激任何有助于我重新获得在这些网站上使用我的姓氏的能力的反馈!
我该联系谁?如何让人们足够的关心来解决它?为什么?想帮忙吗?
这样每个人都可以看到我不是在撒谎,这里有一个示例网站.本演练将链接到footlocker网站以创建帐户.在那里,你必须输入的所有内容都是Fread in last name字段并点击提交.巴姆!拒绝访问.返回并将其更改为Fwrite并点击提交.巴姆!拒绝访问.来吧,现在把你的名字,或任何非PHP命令.现在它工作,没有拒绝访问.
>转到:https://www.footlocker.com/account/?action=accountCreate
>在姓氏字段中:Fread(无需填写任何其他字段)
>点击继续
>访问被拒绝
>重复使用不同的PHP命令,您将获得拒绝访问权限
>使用非PHP命令重复,您将不会被拒绝访问
请帮忙!
*****注意:我在不同的IP地址,不同的计算机,不同的操作系统上试过这个,让我的朋友在不同的城镇尝试,错误发生在任何地方.我的家人也有同样的姓氏.
鉴于这个问题突然出现以及问题的普遍程度,显然不仅仅是一两家公司的疏忽开发者,而且显然不仅仅是旧网站.如果美国国税局,您的银行,Amtrak,Greyhound,Footlocker和其他主要公司都在大致相同的时间开始失败,那么它必须与更新的共享代码相关,这很难追查.然而…
我抓到了这个虫子!
出乎意料的是,我在进行一些有趣的Web开发时遇到了同样的错误.我试图POST字符串“测试事件;描述将在这里”,并收到403错误.经过一些毛发撕裂和反复试验,结果证明分号是罪魁祸首,一旦删除它,POST就会起作用.
显然,并非每个分号都是对服务器的威胁,所以我发现这个规则不仅仅是一点点愚蠢.那时我对这个问题慢慢记忆犹新,所以我尝试在末尾用“fread”提交相同的字符串(减去分号).瞧,403回来了.
跨站点脚本(XSS)
在安全性较差的网站上,黑客可以将代码注入输入字段,以便服务器运行代码而不是存储数据.这称为跨站点脚本或XSS.当然,网站管理员和网站开发人员希望防止这种情况发生.
在这种情况下,似乎服务器看到的东西看起来像一个命令(这使得它怀疑是XSS尝试)并惊慌失措.在我的例子中,它看到了一个分号,它是一个命令终止符.在你的,它看到了它认为是文件读取命令.在这两种情况下,服务器都认定我们是“威胁”并选择拒绝我们通过403错误访问我们请求的资源.
ModSecurity的
罪魁祸首似乎是ModSecurity,一个用于apache和其他Web服务器的模块,其中包括许多其他东西,用于屏蔽可疑XSS攻击的POST输入.当我在我的网站上禁用它时,我能够发布我想要的任何内容,因为(我觉得)我应该.
ModSecurity在2016年3月9日是updated to version 2.9.1,之前相对稳定的发布候选版本可能在狭窄的使用中,因此时机成熟.它现在已经广泛使用,因此Amtrak / Greyhound / Footlocker可能都使用这个模块,考虑到问题的相似性和时间安排.
结论:
好消息:我90%肯定它是ModSecurity,它们可能是这个问题的最佳单点联系人.您可以考虑将问题发布到他们的GitHub页面,或直接联系开发人员或两个问题.
坏消息:他们可能仍然认为你是一个边缘案件.此外,如果/当ModSecurity发布更新时,实际的最终产品修复可能会归结为各个站点的管理员决定更新他们的东西.但它仍然值得以开发团队作为起点.
祝好运!!
以上是脚本宝典为你收集整理的拒绝访问:我的姓氏正在作为php命令读入全部内容,希望文章能够帮你解决拒绝访问:我的姓氏正在作为php命令读入所遇到的问题。
本图文内容来源于网友网络收集整理提供,作为学习参考使用,版权属于原作者。
如您有任何意见或建议可联系处理。小编QQ:384754419,请注明来意。