weiphp机制浅析

最新推荐文章于 2022-01-19 22:20:49 发布
最新推荐文章于 2022-01-19 22:20:49 发布
阅读量737 收藏 1
点赞数
分类专栏: 学习心得 文章标签: thinkphp
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/u010563060/article/details/51503209
版权

看了几天的框架源代码,有一点点心得,试着分析一下。
1. weiphp安装:创建管理员帐号,写入预置插件的数据库资料
2. weiphp自身:前台界面(管理公众号功能,譬如配置插件功能,设置图文资料等等);后台界面(weiphp插件安装/卸载,系统管理等)
3. thinkphp部分:语法,模板引擎
4. onethink部分:插件
5. weiphp部分:微信相关的类和程序流程控制

框架运行流程:(在weiphp配置完成之后)
1. 用户发(OPEN_ID)给公众号(TOKEN)一条消息;
2. 微信将此消息(附上token,content,time,AESkey,destination等)转发给服务器的指定地址;
3. 服务器验证并解析消息,提取处消息内容开始处理;
4. 获取该公众号的插件列表,关键字列表等信息,找到用于处理此消息的插件,并转到该插件处理;
5. 处理完毕后,reply给微信服务器相应的信息,微信服务器再将该消息拆包解析,并在相应的公众号内将消息返回给指定用户。

自定义菜单跳转略不同:(微信发送的是一条包含链接的link类型消息)
用户跳转至指定插件页面,开始操作。
利用OPENID识别该用户为唯一用户,记录其相关资料,创建个人档案(服务会员)。

weiphp文档
01-04
weiphp是一个开源,高效,简洁的微信开发平台.doc
weiphp 简介--笔记
weixin_30888027的博客
07-20 152
注意:如果你有什么问题,可加入官方QQ群进行讨论:329650736【已满】,8322255 一、简介 weiphp是一个开源,高效,简洁的微信开发平台,它是基于oneThink这个简单而强大的内容管理框架实现的。如你想深入理解和学习本开发平台,后续请研读oneThink的开发手册(http://document.onethink.cn/manual_1_0.html) ...
Weiphp随笔,百度天气API接口
weixin_33691817的博客
12-26 186
新建插件名必须大写 http://api.map.baidu.com/telematics/v3/weather?location=%E5%8C%97%E4%BA%AC&output=json&ak=key 数据库配置目录:Application/Common/Conf/   目录结构 由于基于oneTink,因此代码目录结构也与其一致:   ├─index.php ...
WeiPHP 微信开发简介
Hani的 编程生活
09-12 1490
wp_model  wp_attribute
关于weiphp
wenqingzzz的专栏
05-07 563
1.http://www.weiphp.cn/ 最近看到了一个weiphp,这个是基于onethink的微信管理,更加类似于一个微信的帐号管理系统, 使用起来十分的方便,是基于TP的。
weiphp微信公众平台框架 v3.0 正式版
12-10
weiphp是一个开源,高效,简洁的微信开发平台,它是基于oneThink这个简单而强大的内容管理框架实现的。
weiphp微信公众平台授权设置
01-20
weiphp后台使用设置 实现在用户授权时候显示公众号的名字以及分享使用该服务号 使用步骤 1:在weiphp后台打开公众号管理-新增 2:输入公众号名字,原始ID,微信号 3:在这里公众号能查找到 4: 输入完成之后下一步,他会...
weiphp框架
01-14
weiphp
weiphp2.0.1202:商业级别weiphp开源插件
05-30
weiphp2.0.1202 商业级别weiphp开源插件
WeiPHP2.0 + WeiPHP3.0 两个版本的初始压缩包(官方纯净版)
10-11
WeiPHP2.0 + WeiPHP3.0 两个版本的初始压缩包(官方纯净版) 压缩包内包括两个压缩文件,一个是weiphp2.0的版本,一个是weiphp3.0的版本 WeiPHP2.0说明: 本包为2.0稳定版本 最低系统要求: PHP 5.3.0+ MySQL 5.0+ ...
微信后台管理系统weiphp
03-26
weiphp是一个开源,高效,简洁的微信开发平台,它是基于oneThink这个简单而强大的内容管理框架实现的!内有二次开发手册~
关于WeiPHP
lz0426001的专栏
03-07 724
http://www.weiphp.cn/ weiphp是一个开源,高效,简洁的微信开发平台,它是基于oneThink这个简单而强大的内容管理框架实现的。 旨在帮助开发者快速实现微信公众账号的个性化功能。
微信开发学习日记(八):7步看懂weiphp插件机制,核心目标是响应微信请求
weixin_30832983的博客
04-17 124
又经过了几个小时的梳理、回顾,截至目前,终于对weiphp这个框架的机制搞明白了些。想要完全明白,自然还需要大把的时间。 第1步: 配置微信公众号,http://weiphp.jiutianniao.com/ ... .html 从上面这个配置可以看出,微信请求呗weiphp的入口文件index.php接收了,可能会被/home/weixin/index/这个action响应。第2...
WEIPHP开发笔记(1)
weixin_34101784的博客
06-12 99
前些日子接到微信平台开发需求,先找了一堆的微信营销CMS玩了一下,觉得东西过于庞杂,且基本上属于网站编就就能搞定的事情,没我们技术人员什么事,而且对于开发方面的支持比较弱,于是乎找了几个微信平台二次开发包,其中看起来WEIPHP做的比较好,基于OneThink框架做的封装,而OneThink又是基于ThindPHP3.2做的封装,应该比较成熟了,MCV是比较到位的,而...
WEIPHP使用
hubu2006的专栏
11-10 640
攻防世界--weiphp
qq_46263951的博客
01-19 1574
这道题原本应该是通过.git源码泄漏获取到源码,利用工具githack,可能是环境的问题,执行完发现目录是空的 直接从网上找源码,可能比源代码的内容要多一些 GitHub - weiphpdev/weiphp5.0: WeiPHP5.0,公众号与小程序结合的最佳开发框架,,它实现一个后台同时管理和运营多个客户端(公众号,微信小程序,后续将支持支付宝小程序,百度小程序等) 进入后的页面为一个登陆框,将login改为register发现该功能被禁用了 前台SQL注入 由于这里对title参数并没有检.
weiphp微信支付开发教程
技术干货分享
09-24 4641
1、下载微信官方支付API https://mp.weixin.qq.com/paymch/readtemplate?t=mp/business/course3_tmpl&lang=zh_CN 2、将WxPayPubHelper文件夹拷贝到wp下的ThinkPHP\Library\Vendor\WxPay 目录下 3、配置WxPay.pub.config.php 4、配置微信公众平
微信开发学习日记(六):weiphp框架
weixin_30887919的博客
04-16 125
最近重点在看weiphp这个开源的第三方微信公众平台框架。 在网上找微信资料,找到了这个。很早之前,就初步学习了Thinkphp和Onethink2个开源框架,当看到weiphp是用这2个框架开发的时候,我就更愿意去学习,毕竟学习成本很低了。 weiphp,目前开源版本,感觉没有重点维护了,bug不少。遇到bug,去官方论坛找找答案,很多热心网友都分享了解决办法。 但是,开源版本还是很...
微信公众平台开发框架WeiPHP——插件开发 有大用
u010227042的博客
01-13 6450
1、介绍:         对于开发者来说,整个框架系统最重要的就是插件开发了,很多功能需求都需要插件来完成。插件的制作其实主要分为两种,一种是web接口调用,比如:天气查询、物流查询、考试成绩查询等等,这些都需要通过访问其他网站的开放接口来获取相应数据,在获取数据后以文本形式或图文消息回复给用户。还有一种就是网站制作,具体点儿就是一个小型的功能微站,比如留言板、预约、抽奖等,这些都需要
weiphp 任意文件读取
最新发布
03-14
<think>嗯,用户想了解Weiphp框架中的任意文件读取漏洞的原因和修复方案。首先,我需要回忆一下常见的文件读取漏洞通常是怎么产生的。比如,用户输入未经过滤直接传递给文件操作函数,可能导致路径穿越或者文件包含。 接下来,我应该检查Weiphp框架中是否存在这样的问题。根据之前的知识,这类漏洞可能在文件下载或读取功能模块中出现,特别是当使用参数如`file`或`filename`时没有正确验证路径。例如,攻击者可能通过构造`../../etc/passwd`这样的路径来访问系统文件。 然后,漏洞的原因可能包括未校验用户输入的合法性,允许绝对路径或路径穿越符号,以及未限制文件访问范围。修复方案通常涉及白名单验证、过滤危险字符、限制文件目录等。另外,框架本身是否有安全更新也需要考虑,比如官方是否发布了补丁。 还要确保回答中引用相关的参考资料,比如提到的Web安全学习笔记中的内容,以增加可信度。最后,生成的相关问题需要围绕漏洞分析、修复步骤、代码审计方法以及框架对比展开,帮助用户深入理解。</think>### Weiphp框架任意文件读取漏洞分析 #### 漏洞原理 该漏洞通常出现在文件下载功能模块中,攻击者通过构造特殊路径参数实现越权读取服务器文件。常见触发点如: $$filepath = $_GET['file']; \quad readfile($filepath);$$ 未对`file`参数进行安全过滤时,攻击者可构造`?file=../../etc/passwd`实现路径穿越[^1]。 #### 漏洞成因 1. 未校验用户输入合法性 2. 允许使用绝对路径或路径穿越符号(`../`) 3. 未限制文件访问目录范围 4. 未对文件后缀进行白名单校验 #### 修复方案 1. **输入过滤**: ```php $allow_files = ['config.inc.php', 'readme.txt']; if(!in_array(basename($file), $allow_files)) { die("非法文件请求"); } ``` 2. **路径限制**: ```php $base_dir = '/var/www/uploads/'; $real_path = realpath($base_dir . $file); if(strpos($real_path, $base_dir) !== 0) { die("路径非法"); } ``` 3. **符号过滤**: ```php $file = str_replace(['../', './'], '', $_GET['file']); ``` 4. **更新框架版本**:升级到Weiphp官方修复版本(需确认官方最新版本号) #### 防御建议 - 使用`chroot`环境限制Web目录 - 设置`open_basedir`限制PHP访问路径 - 禁用危险函数如`readfile()`、`file_get_contents()`等 - 定期进行代码审计(可参考OWASP代码审计指南)
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值