概述

关于SQL注入，想必这里也不用多讲。互联网上关于SQL注入的Paper、Blog有很多，以及各个漏洞平台层出不穷的漏洞报告。但是，这些漏洞都有一个很大的共同点：数据查询参数过滤不够严谨所导致的Select型注入。

这两天在对一个WordPress插件漏洞分析的时候，发现其漏洞存在于Insert语句之中，和之前所接触到的漏洞有很大的不同。于是对这个漏洞进行了深入的分析、实验、思考、总结，下面是这次漏洞研究的详细过程。

这事儿我遇到过太多了。有个客户凌晨给我发微信，说他 WordPress 外贸站后台登不上了，密码输对的却一直报错。我远程看了一下后台日志，心凉半截。

后台 /wp-login.php 被暴力破解攻击了，一晚上被扫了 18000 次……简直比服务器还努力。

一、默认后台路径没改，黑客扫你像扫楼

1. 肉鸡（被控制主机/Bot）

解释：被黑客攻陷、远程操控的计算机或智能设备。用户通常无感知，设备被用作发动攻击、发送垃圾邮件、或间接攻击其他目标。

Java代码审计之不安全的Java代码

在打靶场的同时，需要想一下如果你是开发人员你会怎样去防御这种漏洞，而作为攻击方你又怎么去绕过开发人员的防御。

更新内容

• 增加 CloseLiveTask
• 增加搜索页图片 alt 属性 striptags 过滤
• 后台增加返回顶部快捷方式
• 前台 fixbar 增加联系电话
• 优化安装脚本

去年黑五，一个客户的独立站被黑客用SQL注入攻击，订单数据全丢——事后发现他用的免费防火墙插件早就停止更新了。这让我想起2023年Sucuri的报告：跨境电商站点平均每天遭受57次恶意攻击，但60%的卖家还在用过期安全方案。最讽刺的是，这些卖家会给员工买VPN，却舍不得花$99/年买个正经防火墙。

上周Temu的工程师在Reddit爆料，他们通过清理冗余数据让页面加载提速1.2秒——这直接带来$200万/日的GMV增长！ 而我的客户Linda却坚持"数据越多越安全"，直到她的WooCommerce后台打开要17秒...（别笑，你肯定也见过这种"电子仓鼠"型卖家）

今天终于搞定了一个超难缠的支付问题

事情是这样的： 客户的WooCommerce支付老是报错，订单状态卡在"待付款" PayPal IPN回调404，Stripe webhook也接收不到

技术排查过程：

1. 服务器日志一看，PHP memory_limit才128M

作者：月月樱

本次周年庆版本，游戏里面出现了不少助力深渊的活动。如“史诗的诱惑”活动，就给我们提供了一张无限之智慧的引导通行证，可以让我们一直免费刷深渊。

不过虽然深渊的门票免了，但是有限的疲劳却是限制了勇士们刷深渊的脚步。

既然如此，那么在当前版本有哪些可以获得疲劳药的途径呢？

我把我积灰的Mac mini 托管到机房了，有图有真相。

虽然画质又渣又昏暗，但是！这就是实锤。

作为开发者，谁不想拥有个自己的服务器呢。但无论是云服务器还是Nas，前期投入都不少。

正好之前国补低价入了台Mac Mini，差点就积灰了，这下变废为宝了。