广 告 位 招 租 QQ:527116945
当前位置: 首页 » SEO » seo » 正文

seo1晋江哪好

放大字体  缩小字体 发布日期:2022-05-24 01:06:01  来源:seo1晋江哪好  作者:han  浏览次数:1
核心提示:seo1晋江哪好-74cms信息泄露漏洞(CVE-2018-20519)404错误页面主要是告诉浏览用户所请求的页面不存在或者是链接错误,并且同时引

seo1晋江哪好-74cms信息泄露漏洞(CVE-2018-20519)

404错误页面主要是告诉浏览用户所请求的页面不存在或者是链接错误,并且同时引导用户使用网站的另一个页面,并不是遇到错误页面直接关闭网站。很多的开源程序的404错误页面制作的都很普通的,甚至都不会提供404页面,对于SEO优化来说404错误页面也要有一定的制作技巧,做好网站用户体验的一个主要因素就是404错误页面的制作。

SEOer制作404错误页面的技巧是符合SEO要求的,这里用Apache服务器为例:

1、在网站根目录里面有一个.htaccess文件,用记事本打开这个文件之后加入代码:Errordocument 404 /Error.html;

2、建立一个404页面,一个简单的404.html文件就可以,并把命名页面为Error.html;

3、把建立好的Error.html文件用FTP上传到网站的根目录下。

这里要注意的是:不要把404错误页面设置成直接转向网站首页,因为会影响网站首页的收录问题。另外/Error.html前面不要加上主域名,否则404错误页面返回的状态码会是302或者200状态码。

seo1晋江哪好-SEO相关(1)

在打开网站页面的时候会出现502 Bad Gateway的提示,今天和朋友们分享一下什么是502 Bad Gateway。一般是指的错误网关,在互联网中表示一种网络错误,表现在WEB浏览器中给出的页面反馈。这通常并不意味着上游服务器已经关闭(无响应网关/代理),而是上游服务器和网关/代理不同意的协议交换数据。鉴于互联网协议是相当清楚的,往往意味着一个或两个机器已不正确或不完全编程。【百度百科】

502 Bad Gateway产生的原因:服务器(不一定是Web服务器)是作为网关或代理,以满足客户的要求(如Web浏览器或我们的CheckUpDown机器人)来访问所请求的URL 。此服务器收到无效响应从上游服务器访问履行它的要求。

简单来说,502是报错类型代码bad gateway错误的网关。因为连接超时向服务器发送请求,由于服务器当前链接太多,导致服务器方面无法给于正常的响应,从而产生此类报错提示。遇到这样错误提示的时候,可以停留一段时间之后进行网站页面的刷新处理。

刷新处理分为两种形式,一种是基本刷新,就是点击刷新或者使用F5快捷键,基本刷新有可能只是从本地的硬盘重新拿取数据到浏览器,并不一定重新向服务器发出请求。大部分用户很多时候都是这样刷新的,遇到502报错的就没有任何效果。第二种是从服务器刷新,如果用户重新直接点击你想要浏览的网页链接,你会发现显示“502 bad gateway”错误信息的页面,在点击链接后可以正常浏览。

也就是说当用户点击想要浏览的网页链接的时候,是会从服务器重新下载数据的,从服务器上刷新的方法一般可以通过快捷键ctrl+F5,或者复制链接到浏览器地址栏重新打开,这样就是重新向服务器发送请求了。通常情况下通过这样的刷新方法,可以重新打开提示502 bad gateway错误的网站页面。

seo1晋江哪好-SEO相关(2)

今天转载一篇来自百度安全指数平台发布的关于骑士CMS信息泄露漏洞的内容,这篇内容发布时间为2018年12月29日,正文部分如下:74cms是中国迅易科技公司的一套基于PHP和MySQL的在线招聘系统。 74cms 4.2.111版本中存在安全漏洞。远程攻击者可通过修改职位搜索意向利用该漏洞读取或修改任意简历。

漏洞描述

远程攻击者可通过修改职位搜索意向利用该漏洞读取或修改任意简历。

攻击者创建一份简历,然后修改求职意向,修改过程中抓包更改pid数字会遍历和修改任意用户信息(pid作为每份简历的数字索引)。

ajax_save_basic函数接收从前端传递到后端的pid等参数,对pid参数未与当前用户权限校验就调用save_resume函数将更改信息写入对应pid的简历,如下图所示:

上图中仅仅检查了是否存在简历并且利用privileges.C (‘visitor’)返回当前用户权限,如下图:

函数D:

调用resumemodel. class. php文件里面的save_resume函数,如下图所示:

更新简历的save函数如下图所示:

跟踪save函数往下执行,将当前更新的数据根据pid跟新对应简历,如下图所示:

将$data参数做参数过滤防止注入,然后判断是否存在主键为pid数值的简历,如果存在则根据pid对简历进行更新,随后将$data变量传入update字段中,如下图所示:

由于上述用户操作没有对当前用户做出权限检查,更新之后,使用者可以根据修改pid修改任意简历的信息和获取任意简历的个人信息内容。

操作步骤

步骤一:创建账户

步骤二:更改简历

步骤三:点击修改求职意向

步骤四:抓包修改pid的参数

攻击结果截图:

漏洞等级:

高危

漏洞影响范围:

截止当日(2018-12-29)全系列版本

解决方法

关注官方补丁状态。

网站管理者可以先将当前用户与前端传递pid参数绑定。

原文链接地址:https://bsi.baidu.com/article/detail/120

郑重声明:本文版权归原作者所有,转载文章仅为传播更多信息之目的,如作者信息标记有误,请第一时间联系我们修改或删除,多谢。
 

关键词: seo1晋江哪好
 
推荐图文
最新热点文章