摘要：当所有的系统安全防御做好后，剩下恐怕就是SQL注入，跨站攻击等等web应用层防御了，这也是广大站长最困扰的东东了，几日前写的“安全宝构架技术猜测与高级网络安全防御”讲解了一种最简单的高性能防御方方法，根据自己的情况稍微修改下，就可以应付大部分的攻击了，可是就万事大吉了吗？ 首先我们回顾下网上牛人是怎么突破waf防御：1.大小写绕过这个大家都很熟悉，对于一些太垃圾的WAF效果显著，比如拦截了union，那就使用Union UnIoN等等绕过。2.简单编码绕过比如WAF检测关键字，那么我们让他检测不到就可以了。比如检测union，那么我们就用U也就是U的16进制编码来代替U，union写成 Un. 阅读全文

摘要：我们以一个学习的心态来对待这些PHP后门程序，很多PHP后门代码让我们看到程序员们是多么的用心良苦。强悍的PHP一句话后门这类后门让网站、服务器管理员很是头疼，经常要换着方法进行各种检测，而很多新出现的编写技术，用普通的检测方法是没法发现并处理的。今天我们细数一些有意思的PHP一句话木马。利用404页面隐藏PHP小马：<!DOCTYPEHTMLPUBLIC"-//IETF//DTDHTML2.0//EN"><html><head><title>404NotFound</title></head>< 阅读全文