整合營銷服務商
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
電腦端+手機端+微信端=數據同步管理
免費咨詢熱線:
ebshell會嚴重威脅到網站的安全性,webshell 木馬可以任意修改網站文件內容,查看系統環境、執行腳本、提權等等,甚至可以嚴重威脅數據庫的安全。
作為一名站長,定期檢查網站文件安全是必不可少的步驟,當然更推薦接入服務商提供的服務器安全,可以及時發現木馬程序,及時隔離,保護網站安全。
下面為大家推薦幾款不錯的 webshell在線查殺工具,其中包含多引擎查殺工具。
VirScan 是一個多引擎文件檢測平臺,也是國內最早做文件在線檢測的平臺之一。
目前 VirScan 已集成 47 款國際知名的掃描引擎,為廣大用戶提供輕、強、準、快的文件檢測體驗,一次上傳,就能得到幾十款引擎的掃描結果。
VirScan 上傳不限制文件格式,文件大小不超過 50MB。
免費。由于是多引擎查殺,實際查殺效果還不錯,缺點是不支持上傳多個文件掃描。
工具地址:https://www.virscan.org
VirusTotal 使用超過 70 種防病毒掃描程序和 URL/域阻止列表服務來檢查項目,此外還有從研究內容中提取信號的無數工具。任何用戶都可以使用瀏覽器從他們的計算機中選擇一個文件并將其發送到 VirusTotal。VirusTotal 提供了多種文件提交方法,包括主要的公共 Web 界面、桌面上傳器、瀏覽器擴展和程序化 API。在公開的提交方法中,Web 界面具有最高的掃描優先級。提交可以使用基于 HTTP 的公共 API 以任何編程語言編寫腳本。
免費。不限制文件格式,2012 年被 Google 收購,支持 API 接口查殺,同時也是不支持多文件上傳查殺
工具地址:https://www.virustotal.com/gui/home/upload
由百度公司開發的一款 webshell查殺工具,傳統的正則表達式方式,存在高誤報、低查殺率的問題,WEBDIR+采用先進的動態監測技術,結合多種引擎零規則查殺。
免費。不限制上傳數量,支持的文件類型有 php, phtml, inc, php3, php4, php5, war, jsp, jspx, asp, aspx, cer, cdx, asa, ashx, asmx, cfm。支持的壓縮包格式有 rar, zip, tar, xz, tbz, tgz, tbz2, bz2, gz。
工具地址:https://scanner.baidu.com
“哈勃分析系統”,是 “騰訊反病毒實驗室”自主研發的安全輔助平臺。用戶可以通過簡單的操作,上傳樣本并得知樣本的基本信息、可能產生的行為、安全等級等等信息,從而更便捷地識別惡意文件。
支持上傳的格式:APK、EXE、BAT、JS、VBS、SWF、ELF、PDF、HTML,各種壓縮包(RAR、ZIP、7z 等),Office 文檔(DOC/DOCX、XLS/XLSX、PPT/PPTX 等)
這款工具更適合查殺手機、電腦端的應用程序,支持 Webshell查殺的文件格式并不多。
工具地址:https://habo.qq.com
D 盾 _ 防火墻專為 IIS 設計的一個主動防御的保護軟件,以內外保護的方式 防止網站和服務器給入侵,在正常運行各類網站的情 況下,越少的功能,服務器越安全的理念而設計! 限制了常見的入侵方法,讓服務器更安全!
一句話免疫,主動后門攔截,SESSION 保護,防 WEB 嗅探,防 CC,防篡改,注入防御,防 XSS,防提權,上傳防御,未知 0day 防御,異 形腳本防御等等。 防止黑客入侵和提權,讓服務器更安全。
免費。不僅可以在服務器運行,也可以本地電腦運行查殺文件。
工具地址:https://www.d99net.net
河馬查殺是專門針對 webshell 進行查殺的永久免費查殺軟件,專業的 webshell 查殺,分析,清理.不定期發布 webshell 的動態,排名,統計。SHELLPUB 支持在線查殺.強大,簡單,方便。
分為在線工具和電腦軟件工具,在線工具只支持上傳 zip 壓縮包查殺,如果需要查殺多個文件推薦下載客戶端查殺。
免費。客戶端不限制文件格式及大小,在線工具限制 10M
在線工具地址:https://n.shellpub.com
客戶端下載地址:https://dl.shellpub.com/hm-ui/latest/HmSetup.zip?version=1.8.2
官網地址:https://www.shellpub.com
同時推薦各家服務商的主機安全產品,基本能做到實時查殺文件安全性,誤殺低,實時隔離,不過價格偏高,基礎版本每年大約在 1k 至幾 k 不等,可以根據業務需求選擇。
任何工具都不可能做到百分百查出木馬文件和 0 誤殺,定時掃描網站文件是一項很重要的措施,可為網站保駕護航。
HTTP協議是Hyper Text Transfer Protocol(超文本傳輸協議)的縮寫,是用于從萬維網(WWW:World Wide Web )服務器傳輸超文本到本地瀏覽器的傳送協議。
HTTP是一個基于TCP/IP通信協議來傳遞數據(HTML 文件, 圖片文件, 查詢結果等)。
HTTP是一個屬于應用層的面向對象的協議,由于其簡捷、快速的方式,適用于分布式超媒體信息系統。它于1990年提出,經過幾年的使用與發展,得到不斷地完善和擴展。目前在WWW中使用的是HTTP/1.0的第六版,HTTP/1.1的規范化工作正在進行之中,而且HTTP-NG(Next Generation of HTTP)的建議已經提出。
HTTP協議工作于客戶端-服務端架構為上。瀏覽器作為HTTP客戶端通過URL向HTTP服務端即WEB服務器發送所有請求。Web服務器根據接收到的請求后,向客戶端發送響應信息。
http請求-響應模型.jpg
HTTP使用統一資源標識符(Uniform Resource Identifiers, URI)來傳輸數據和建立連接。URL是一種特殊類型的URI,包含了用于查找某個資源的足夠的信息
URL,全稱是UniformResourceLocator, 中文叫統一資源定位符,是互聯網上用來標識某一處資源的地址。以下面這個URL為例,介紹下普通URL的各部分組成:
從上面的URL可以看出,一個完整的URL包括以下幾部分:
1.協議部分:該URL的協議部分為“http:”,這代表網頁使用的是HTTP協議。在Internet中可以使用多種協議,如HTTP,FTP等等本例中使用的是HTTP協議。在"HTTP"后面的“//”為分隔符
2.域名部分:該URL的域名部分為“www.aspxfans.com”。一個URL中,也可以使用IP地址作為域名使用
3.端口部分:跟在域名后面的是端口,域名和端口之間使用“:”作為分隔符。端口不是一個URL必須的部分,如果省略端口部分,將采用默認端口
4.虛擬目錄部分:從域名后的第一個“/”開始到最后一個“/”為止,是虛擬目錄部分。虛擬目錄也不是一個URL必須的部分。本例中的虛擬目錄是“/news/”
5.文件名部分:從域名后的最后一個“/”開始到“?”為止,是文件名部分,如果沒有“?”,則是從域名后的最后一個“/”開始到“#”為止,是文件部分,如果沒有“?”和“#”,那么從域名后的最后一個“/”開始到結束,都是文件名部分。本例中的文件名是“index.asp”。文件名部分也不是一個URL必須的部分,如果省略該部分,則使用默認的文件名
6.錨部分:從“#”開始到最后,都是錨部分。本例中的錨部分是“name”。錨部分也不是一個URL必須的部分
7.參數部分:從“?”開始到“#”為止之間的部分為參數部分,又稱搜索部分、查詢部分。本例中的參數部分為“boardID=5&ID=24618&page=1”。參數可以允許有多個參數,參數與參數之間用“&”作為分隔符。
客戶端發送一個HTTP請求到服務器的請求消息包括以下格式:
Http請求消息結構.png
GET /562f25980001b1b106000338.jpg HTTP/1.1
Host img.mukewang.com
User-Agent Mozilla/5.0 (Windows NT 10.0; WOW64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/51.0.2704.106 Safari/537.36
Accept image/webp,image/*,*/*;q=0.8
Referer http://www.imooc.com/
Accept-Encoding gzip, deflate, sdch
Accept-Language zh-CN,zh;q=0.8GET說明請求類型為GET,[/562f25980001b1b106000338.jpg]為要訪問的資源,該行的最后一部分說明使用的是HTTP1.1版本。
從第二行起為請求頭部,HOST將指出請求的目的地.User-Agent,服務器端和客戶端腳本都能訪問它,它是瀏覽器類型檢測邏輯的重要基礎.該信息由你的瀏覽器來定義,并且在每個請求中自動發送等等
即使第四部分的請求數據為空,也必須有空行。
這個例子的請求數據為空。
POST / HTTP1.1
Host:www.wrox.com
User-Agent:Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; .NET CLR 2.0.50727; .NET CLR 3.0.04506.648; .NET CLR 3.5.21022)
Content-Type:application/x-www-form-urlencoded
Content-Length:40
Connection: Keep-Alive
name=Professional%20Ajax&publisher=Wiley第一部分:請求行,第一行明了是post請求,以及http1.1版本。
第二部分:請求頭部,第二行至第六行。
第三部分:空行,第七行的空行。
第四部分:請求數據,第八行。
一般情況下,服務器接收并處理客戶端發過來的請求后會返回一個HTTP的響應消息。
http響應消息格式.jpg
例子
HTTP/1.1 200 OK
Date: Fri, 22 May 2009 06:07:21 GMT
Content-Type: text/html; charset=UTF-8
<html>
<head></head>
<body>
<!--body goes here-->
</body>
</html>第一行為狀態行,(HTTP/1.1)表明HTTP版本為1.1版本,狀態碼為200,狀態消息為(ok)
第二行和第三行為消息報頭,
Date:生成響應的日期和時間;Content-Type:指定了MIME類型的HTML(text/html),編碼類型是UTF-8
空行后面的html部分為響應正文。
狀態代碼有三位數字組成,第一個數字定義了響應的類別,共分五種類別:
常見狀態碼:
200 OK //客戶端請求成功
400 Bad Request //客戶端請求有語法錯誤,不能被服務器所理解
401 Unauthorized //請求未經授權,這個狀態代碼必須和WWW-Authenticate報頭域一起使用
403 Forbidden //服務器收到請求,但是拒絕提供服務
404 Not Found //請求資源不存在,eg:輸入了錯誤的URL
500 Internal Server Error //服務器發生不可預期的錯誤
503 Server Unavailable //服務器當前不能處理客戶端的請求,一段時間后可能恢復正常更多狀態碼http://www.runoob.com/http/http-status-codes.html
根據HTTP標準,HTTP請求可以使用多種請求方法。
HTTP1.0定義了三種請求方法: GET, POST 和 HEAD方法。
HTTP1.1新增了五種請求方法:OPTIONS, PUT, DELETE, TRACE 和 CONNECT 方法。
GET 請求指定的頁面信息,并返回實體主體。
HEAD 類似于get請求,只不過返回的響應中沒有具體的內容,用于獲取報頭
POST 向指定資源提交數據進行處理請求(例如提交表單或者上傳文件)。數據被包含在請求體中。POST請求可能會導致新的資源的建立和/或已有資源的修改。
PUT 從客戶端向服務器傳送的數據取代指定的文檔的內容。
DELETE 請求服務器刪除指定的頁面。
CONNECT HTTP/1.1協議中預留給能夠將連接改為管道方式的代理服務器。
OPTIONS 允許客戶端查看服務器的性能。
TRACE 回顯服務器收到的請求,主要用于測試或診斷。HTTP協議定義Web客戶端如何從Web服務器請求Web頁面,以及服務器如何把Web頁面傳送給客戶端。HTTP協議采用了請求/響應模型。客戶端向服務器發送一個請求報文,請求報文包含請求的方法、URL、協議版本、請求頭部和請求數據。服務器以一個狀態行作為響應,響應的內容包括協議的版本、成功或者錯誤代碼、服務器信息、響應頭部和響應數據。
以下是 HTTP 請求/響應的步驟:
一個HTTP客戶端,通常是瀏覽器,與Web服務器的HTTP端口(默認為80)建立一個TCP套接字連接。例如,http://www.oakcms.cn。
通過TCP套接字,客戶端向Web服務器發送一個文本的請求報文,一個請求報文由請求行、請求頭部、空行和請求數據4部分組成。
Web服務器解析請求,定位請求資源。服務器將資源復本寫到TCP套接字,由客戶端讀取。一個響應由狀態行、響應頭部、空行和響應數據4部分組成。
若connection 模式為close,則服務器主動關閉TCP連接,客戶端被動關閉連接,釋放TCP連接;若connection 模式為keepalive,則該連接會保持一段時間,在該時間內可以繼續接收請求;
客戶端瀏覽器首先解析狀態行,查看表明請求是否成功的狀態代碼。然后解析每一個響應頭,響應頭告知以下為若干字節的HTML文檔和文檔的字符集。客戶端瀏覽器讀取響應數據HTML,根據HTML的語法對其進行格式化,并在瀏覽器窗口中顯示。
例如:在瀏覽器地址欄鍵入URL,按下回車之后會經歷以下流程:
1、瀏覽器向 DNS 服務器請求解析該 URL 中的域名所對應的 IP 地址;
2、解析出 IP 地址后,根據該 IP 地址和默認端口 80,和服務器建立TCP連接;
3、瀏覽器發出讀取文件(URL 中域名后面部分對應的文件)的HTTP 請求,該請求報文作為 TCP 三次握手的第三個報文的數據發送給服務器;
4、服務器對瀏覽器請求作出響應,并把對應的 html 文本發送給瀏覽器;
5、釋放 TCP連接;
6、瀏覽器將該 html 文本并顯示內容;
GET /books/?sex=man&name=Professional HTTP/1.1
Host: www.wrox.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6)
Gecko/20050225 Firefox/1.0.1
Connection: Keep-Alive注意最后一行是空行
POST / HTTP/1.1
Host: www.wrox.com
User-Agent: Mozilla/5.0 (Windows; U; Windows NT 5.1; en-US; rv:1.7.6)
Gecko/20050225 Firefox/1.0.1
Content-Type: application/x-www-form-urlencoded
Content-Length: 40
Connection: Keep-Alive
name=Professional%20Ajax&publisher=Wiley1、GET提交,請求的數據會附在URL之后(就是把數據放置在HTTP協議頭中),以?分割URL和傳輸數據,多個參數用&連接;例 如:login.action?name=hyddd&password=idontknow&verify=%E4%BD%A0 %E5%A5%BD。如果數據是英文字母/數字,原樣發送,如果是空格,轉換為+,如果是中文/其他字符,則直接把字符串用BASE64加密,得出如: %E4%BD%A0%E5%A5%BD,其中%XX中的XX為該符號以16進制表示的ASCII。
POST提交:把提交的數據放置在是HTTP包的包體中。上文示例中紅色字體標明的就是實際的傳輸數據
2、傳輸數據的大小:首先聲明:HTTP協議沒有對傳輸的數據大小進行限制,HTTP協議規范也沒有對URL長度進行限制。
而在實際開發中存在的限制主要有:
GET:特定瀏覽器和服務器對URL長度有限制,例如 IE對URL長度的限制是2083字節(2K+35)。對于其他瀏覽器,如Netscape、FireFox等,理論上沒有長度限制,其限制取決于操作系 統的支持。
因此對于GET提交時,傳輸數據就會受到URL長度的 限制。
POST:由于不是通過URL傳值,理論上數據不受 限。但實際各個WEB服務器會規定對post提交數據大小進行限制,Apache、IIS6都有各自的配置。
3、安全性
POST的安全性要比GET的安全性高。比如:通過GET提交數據,用戶名和密碼將明文出現在URL上,因為(1)登錄頁面有可能被瀏覽器緩存;(2)其他人查看瀏覽器的歷史紀錄,那么別人就可以拿到你的賬號和密碼了,除此之外,使用GET提交數據還可能會造成Cross-site request forgery攻擊
4、Http get,post,soap協議都是在http上運行的
(1)get:請求參數是作為一個key/value對的序列(查詢字符串)附加到URL上的
查詢字符串的長度受到web瀏覽器和web服務器的限制(如IE最多支持2048個字符),不適合傳輸大型數據集同時,它很不安全
(2)post:請求參數是在http標題的一個不同部分(名為entity body)傳輸的,這一部分用來傳輸表單信息,因此必須將Content-type設置為:application/x-www-form- urlencoded 或者application/json; post設計用來支持web窗體上的用戶字段,其參數也是作為key/value對傳輸。
但是:它不支持復雜數據類型,因為post沒有定義傳輸數據結構的語義和規則。
(3)soap:是http post的一個專用版本,遵循一種特殊的xml消息格式
Content-type設置為: text/xml 任何數據都可以xml化。
Http協議定義了很多與服務器交互的方法,最基本的有4種,分別是GET,POST,PUT,DELETE. 一個URL地址用于描述一個網絡上的資源,而HTTP中的GET, POST, PUT, DELETE就對應著對這個資源的查,改,增,刪4個操作。 我們最常見的就是GET和POST了。GET一般用于獲取/查詢資源信息,而POST一般用于更新資源信息.
我們看看GET和POST的區別
在HTTP/1.0中默認使用短連接。也就是說,客戶端和服務器每進行一次HTTP操作,就建立一次連接,任務結束就中斷連接。當客戶端瀏覽器訪問的某個HTML或其他類型的Web頁中包含有其他的Web資源(如JavaScript文件、圖像文件、CSS文件等),每遇到這樣一個Web資源,瀏覽器就會重新建立一個HTTP會話。
而從HTTP/1.1起,默認使用長連接,用以保持連接特性。使用長連接的HTTP協議,會在響應頭加入這行代碼:
Connection:keep-alive在使用長連接的情況下,當一個網頁打開完成后,客戶端和服務器之間用于傳輸HTTP數據的TCP連接不會關閉,客戶端再次訪問這個服務器時,會繼續使用這一條已經建立的連接。Keep-Alive不會永久保持連接,它有一個保持時間,可以在不同的服務器軟件(如Apache)中設定這個時間。實現長連接需要客戶端和服務端都支持長連接。
HTTP協議的長連接和短連接,實質上是TCP協議的長連接和短連接。
當網絡通信時采用TCP協議時,在真正的讀寫操作之前,客戶端與服務器端之間必須建立一個連接,當讀寫操作完成后,雙方不再需要這個連接時可以釋放這個連接。連接的建立依靠“三次握手”,而釋放則需要“四次握手”,所以每個連接的建立都是需要資源消耗和時間消耗的。
TCP協議經典的三次握手:
經典的四次握手關閉連接示意圖:
現在web技術蓬勃發展,辦公應用特別是excel都搬到了線上,比較流行的有騰訊文檔,金山文檔,石墨文檔,google doc,這些都屬于企業服務。但是小型企業或者團隊,如果想自己搭建一套在線表格系統呢?有沒有開源的方案?
當然是有的,一些表格具有相對簡單的功能,只能顯示數據和過濾器功能,或者某些表格支持多種單元格樣式,但是此類功能需要付費。比較出名有spreadjs,handsontable,這兩個插件有明顯的缺點,spreadjs增值功能收費太貴,handsontable二次開發坑很多。
Luckysheet ,是一款國產的純JS實現的類似excel的在線表格,功能強大、配置簡單、完全開源。
Luckysheet是用純JavaScript編寫的前端表格庫,可以嵌入到任何前端項目或應用程序中,增強原有的系統功能,而無需使用excel或其他復雜的軟件進行數據處理。
這使我們的數據處理、分析、顯示和存儲可以由一個系統完成,而無需切換平臺,不切換系統,便于集成和完全自動化。
“我們決心制作一個功能最豐富,配置和使用最簡單的開源電子表格-Luckysheet,為企業報表平臺和數據分析平臺提供支持,并建立一個數據分析社區。具體來說,我們提供了一個類似于excel的在線編輯表格,其中包含單元格樣式,公式,過濾,凍結和其他功能。我們基本支持excel的常用功能,數據分析,顯示和編輯的需求。” —Luckysheet作者
Luckysheet ,是一款國產的純JS實現的類似excel的在線表格,功能強大、配置簡單、完全開源。
開源地址:https://gitee.com/mengshukeji/Luckysheet
在線文檔:https://mengshukeji.github.io/LuckysheetDocs/zh/guide
在線演示:https://mengshukeji.gitee.io/luckysheetdemo
要使用LuckySheet,有2種方式,可以從官網下載JS,然后引入本地頁面,也可以引入CDN。
<link rel='stylesheet' href='./plugins/css/pluginsCss.css' />
<link rel='stylesheet' href='./plugins/plugins.css' />
<link rel='stylesheet' href='./css/luckysheet.css' />
<link rel='stylesheet' href='./assets/iconfont/iconfont.css' />
<script src="./plugins/js/plugin.js"></script>
<script src="./luckysheet.umd.js"></script><div id="luckysheet"></div><script>
$(function () {
//配置項
var options = {
container: 'luckysheet' //luckysheet為容器id
}
luckysheet.create(options)
})
</script>這樣,一個在線Excel就完成了。LuckySheet只提供前端的操作,數據保存要由開發人員自己實現。
數據保存分為兩種,一種是:實時保存,一種是“全部保存”。實時保存比較復雜,現在介紹一種簡單的全部保存方法。
LuckySheet提供了一個 luckysheet.getAllSheets() 方法,調用此方法,Luckysheet系統會把所有數據一股腦的傳遞給你,
你可以再頁面的OnClick的保存事件里保存這些數據,然后利用Jquery的Post方法,接收數據寫入數據庫。
下面代碼演示了把Luckysheet POST到 xls.aspx 頁面
function save() {
var data2 = luckysheet.getAllSheets();
var cnt = JSON.stringify(data2);
$.post("xls.aspx", {
cnt: cnt
});
}在 xls.aspx頁面,利用 Request[“cnt”] 就可以獲取所有數據,然后保存到數據庫。
LuckySheet提供了loadUrl屬性,當前端初始化完畢后,luckysheet會調用此屬性加載初始化數據。所以,利用此屬性,可以還原數據庫里保存的數據。
var options = {
container: 'luckysheet',
lang: 'zh',
showinfobar: false,
row: 20,
column: 15,
plugins: ['chart'],
showstatisticBar: false,
loadUrl: 'data.aspx?id=11', //還原數據URL
showsheetbar: false,
showsheetbarConfig: {
add: false,
menu: false,
}(1) Luckysheet允許在本地加載Luckysheet需要的JS,CSS等,但是這些JS、CSS比較大,為此,可以利用link的prefetch預加載CSS,JS。
<link rel="prefetch" href="../javascript/luckysheet/plugins/css/pluginsCss.css" />
<link rel="prefetch" href="../javascript/luckysheet/plugins/plugins.css" />
<link rel="prefetch" href="../javascript/luckysheet/css/luckysheet.css" />
<link rel="prefetch" href="../javascript/luckysheet/assets/iconfont/iconfont.css" />
<link rel="prefetch" href="../javascript/luckysheet/plugins/js/plugin.js" />
<link rel="prefetch" href="../javascript/luckysheet/luckysheet.umd.js" />(2)Luckysheet在插入圖片時,圖片會議Base64格式存儲,所以,最終保存的數據可能非常大。
(3)需要理解Excel的一些簡單概念:一個Excel是由多個Sheet組成,而一個Sheet是由多個Cell組成,而每個單元格都會包括 r,c,v(r:單元格的行 row、c:單元格的列 column、 v:單元格的值 value),在使用實時保存時, 二維數組數據轉化成 {r, c, v}格式 一維數組。實時保存數據量小,但是比較復雜。
LuckySheet提供了一個LuckyExcel,他支持Excel的導入和導出。
演示:https://mengshukeji.gitee.io/luckyexceldemo
Luckysheet可以使用Echart生成圖表組件(餅形圖,柱狀圖,曲線圖等)。
*請認真填寫需求信息,我們會在24小時內與您取得聯系。
