Yii 共 3 篇

技术笔记 bagecms「0day」从XSS到getshell

bagecms 0day:从xss到getshell

八月末看了蘑菇在KCON演讲的PPT,感觉有了很多新思路。刚好上个月一直在做Yii相关的开发工作,下了一套基于Yii1的CMS(bagecms),就顺手对它简单分析了下,结果在附件上传的位置发现了一枚存储型XSS,同时由于这个CMS还存在前台文件上传和CSRF写文件的问题,于是可以用XSS直接getshell。

乌云:http://wooyun.org/bugs/wooyun-2014-074109

发到wooyun后,我当时没贴xss getshell的部分,后来修改了下,但是貌似wooyun对修改漏洞细节的审核优先级不高,一直没给通过...

杂七杂八 小博客半血复活

断断续续搞了很久的Blog终于是算完成了吧,于是把原来空间的Wordpress换掉了,改成了这个东西。

这是我使用Yii开发的一套博客程序,目前博客所有功能已经完成,前端的话有几个小的BUG不影响使用,现在就这么凑合玩吧。当前模版只支持现代浏览器访问。。。Blog程序目前比较完整,剩下的大概是一些琐碎功能的管理,再就是添加和完善一些好玩的模块了。

其实虽然去年各种瞎忙活,但是还是在Yii方面开发有些心得,想写出来以作备忘,可是真是在瞎忙活,一直也没写,决定以后把这些坑都填上。

可惜SAE限制了本地I/O,而Yi...

技术笔记 Yii与DWZ整合-关于分页

先介绍下DWZ,DWZ框架是个国产的开源JS框架,其目的就是使开发人员不写JS的情况下依然能做出AJAX交互, DWZ框架完全开源,源码没有做任何混淆处理,非常方便修改。本文采用的是DWZ 1.4。

 在Yii的官网上有个DWZ的扩展,可以去看下。版本和风格我不太喜欢,所以直接用的DWZ的原版。

在文章列表页面,我采用CActiveDataProvider 来获取数据并分页。经过测试发现,这种方式的...