99精品国产综合久久久久五月天,免费观看欧美大片毛片不用播放器 ,AV无码理论片在线观看免费网站,国产精品国产成人国产三级

標(biāo)題: [其它] webshell不可以跨站但可以讀寫文件,求助！ [打印本頁]

作者: zhangds147 時間: 2013-9-13 18:42 標(biāo)題: webshell不可以跨站但可以讀寫文件,求助！

webshell不可以跨站但可以讀寫文件,求助！我在一個網(wǎng)站根目錄（子目錄也測試了）上傳一個后門，然后web進(jìn)入，發(fā)現(xiàn)可以上傳文件和修改刪除文件

文件目錄權(quán)限是755，求怎么防止后門修改文件？

以前用kolxo的時候就不會這樣。

圖片附件: 12.jpg (2013-9-13 18:37, 52.27 KB) / 下載次數(shù) 7524
http://fudaan.com/bbs/attachment.php?aid=3616&k=f4ae55fca01d0d22c9edca54f83f6f03&t=1745162016&sid=vvx6dC

作者: acmkis 時間: 2013-9-13 21:24

如果你用的是apache的話，添加網(wǎng)站的時候勾上“限制目錄”即可
用ngnix的話，可以參考這里：http://www.lpboke.com/nginxphp%E9%98%B2%E8%B7%A8%E7%AB%99%E8%B7%A8%E7%9B%AE%E5%BD%95%E7%9A%84%E5%AE%89%E5%85%A8%E8%AE%BE%E7%BD%AE%E5%A4%9A%E7%A7%8D%E6%96%B9%E5%BC%8F%EF%BC%8C%E9%80%82%E5%90%88php5-3%E4%BB%A5%E4%B8%8A.html

作者: 飄云 時間: 2013-9-14 11:39

學(xué)習(xí)了。不錯啊。

作者: zhangds147 時間: 2013-9-14 12:19

我已經(jīng)說可以限制目錄不可以限制讀寫。你回答的是個P我知道建站時候勾選那個。

作者: itxx 時間: 2013-9-16 22:43

回復(fù) 4# zhangds147

由于php的部分函數(shù)具有操作系統(tǒng)的權(quán)限，建議禁止這些危險函數(shù)，例如：system函數(shù)可以獲取比較高的權(quán)限。你提到的問題我們會進(jìn)一步測試。

作者: zhangds147 時間: 2013-9-18 17:16

如果別人知道webshell的路徑，打開后給你上傳一個phpmyadmin，再找出你的數(shù)據(jù)庫密碼和用戶名登陸后就可以刪除你VPS上所有的數(shù)據(jù)庫。雖然他夸不了站，打包不了你的程序，但是可以刪除你所有的數(shù)據(jù)庫

我昨天又安裝了kloxo,kloxo可以封鎖所有讀寫上傳功能，但是禁止不了跨站。就安全來講，封鎖讀寫上傳肯定比跨站重要，就是黑客可以跨站，可以看到你網(wǎng)站的數(shù)據(jù)庫用戶密碼。但是他任何破壞都做不了。

作者: zhangds147 時間: 2013-9-18 17:32

剛才我測試了。黑客用webshell上傳phpmyadmin，再利用你的數(shù)據(jù)庫配置文件得到你的用戶名和密碼，登錄后只能看到該網(wǎng)站目錄下的數(shù)據(jù)庫，數(shù)據(jù)庫也不可以跨站。只能在這一個目錄下?lián)v亂。

作者: zhangds147 時間: 2013-9-18 23:01

求解決禁止上傳。。。

作者: itxx 時間: 2013-9-19 10:46

回復(fù) 8# zhangds147

測試中，請稍后。。。

作者: admin 時間: 2013-9-20 15:06

回復(fù) 6# zhangds147

數(shù)據(jù)庫里的話,除了root用戶權(quán)限,否則,看不到其它用戶的數(shù)據(jù)庫的,也操作不了其它的數(shù)據(jù)庫

歡迎光臨 WDlinux官方論壇 (http://fudaan.com/bbs/)