永久黄网站色视频免费直播,yy6080三理论日本中文,亚洲无码免费在线观看视频,欧美日韩精品一区二区在线播放

標(biāo)題: [其它] webshell不可以跨站但可以讀寫文件,求助！ [打印本頁]

作者: zhangds147 時(shí)間: 2013-9-13 18:42 標(biāo)題: webshell不可以跨站但可以讀寫文件,求助！

webshell不可以跨站但可以讀寫文件,求助！我在一個(gè)網(wǎng)站根目錄（子目錄也測(cè)試了）上傳一個(gè)后門，然后web進(jìn)入，發(fā)現(xiàn)可以上傳文件和修改刪除文件

文件目錄權(quán)限是755，求怎么防止后門修改文件？

以前用kolxo的時(shí)候就不會(huì)這樣。

圖片附件: 12.jpg (2013-9-13 18:37, 52.27 KB) / 下載次數(shù) 7443
http://www.fsowen.com/bbs/attachment.php?aid=3616&k=4b517feb58794eda8ab043efe2b66024&t=1743875018&sid=Ql55Le

作者: acmkis 時(shí)間: 2013-9-13 21:24

如果你用的是apache的話，添加網(wǎng)站的時(shí)候勾上“限制目錄”即可
用ngnix的話，可以參考這里：http://www.lpboke.com/nginxphp%E9%98%B2%E8%B7%A8%E7%AB%99%E8%B7%A8%E7%9B%AE%E5%BD%95%E7%9A%84%E5%AE%89%E5%85%A8%E8%AE%BE%E7%BD%AE%E5%A4%9A%E7%A7%8D%E6%96%B9%E5%BC%8F%EF%BC%8C%E9%80%82%E5%90%88php5-3%E4%BB%A5%E4%B8%8A.html

作者: 飄云 時(shí)間: 2013-9-14 11:39

學(xué)習(xí)了。不錯(cuò)啊。

作者: zhangds147 時(shí)間: 2013-9-14 12:19

我已經(jīng)說可以限制目錄不可以限制讀寫。你回答的是個(gè)P我知道建站時(shí)候勾選那個(gè)。

作者: itxx 時(shí)間: 2013-9-16 22:43

回復(fù) 4# zhangds147

由于php的部分函數(shù)具有操作系統(tǒng)的權(quán)限，建議禁止這些危險(xiǎn)函數(shù)，例如：system函數(shù)可以獲取比較高的權(quán)限。你提到的問題我們會(huì)進(jìn)一步測(cè)試。

作者: zhangds147 時(shí)間: 2013-9-18 17:16

如果別人知道webshell的路徑，打開后給你上傳一個(gè)phpmyadmin，再找出你的數(shù)據(jù)庫密碼和用戶名登陸后就可以刪除你VPS上所有的數(shù)據(jù)庫。雖然他夸不了站，打包不了你的程序，但是可以刪除你所有的數(shù)據(jù)庫

我昨天又安裝了kloxo,kloxo可以封鎖所有讀寫上傳功能，但是禁止不了跨站。就安全來講，封鎖讀寫上傳肯定比跨站重要，就是黑客可以跨站，可以看到你網(wǎng)站的數(shù)據(jù)庫用戶密碼。但是他任何破壞都做不了。

作者: zhangds147 時(shí)間: 2013-9-18 17:32

剛才我測(cè)試了。黑客用webshell上傳phpmyadmin，再利用你的數(shù)據(jù)庫配置文件得到你的用戶名和密碼，登錄后只能看到該網(wǎng)站目錄下的數(shù)據(jù)庫，數(shù)據(jù)庫也不可以跨站。只能在這一個(gè)目錄下?lián)v亂。

作者: zhangds147 時(shí)間: 2013-9-18 23:01

求解決禁止上傳。。。

作者: itxx 時(shí)間: 2013-9-19 10:46

回復(fù) 8# zhangds147

測(cè)試中，請(qǐng)稍后。。。

作者: admin 時(shí)間: 2013-9-20 15:06

回復(fù) 6# zhangds147

數(shù)據(jù)庫里的話,除了root用戶權(quán)限,否則,看不到其它用戶的數(shù)據(jù)庫的,也操作不了其它的數(shù)據(jù)庫

歡迎光臨 WDlinux官方論壇 (http://www.fsowen.com/bbs/)