[其它] webshell不可以跨站但可以讀寫文件,求助！

zhangds147

下載 (52.27 KB)

2013-9-13 18:37

webshell不可以跨站但可以讀寫文件,求助！我在一個網(wǎng)站根目錄（子目錄也測試了）上傳一個后門，然后web進(jìn)入，發(fā)現(xiàn)可以上傳文件和修改刪除文件

文件目錄權(quán)限是755，求怎么防止后門修改文件？

以前用kolxo的時候就不會這樣。

zhangds147

我已經(jīng)說可以限制目錄 不可以限制讀寫。 你回答的是個P我知道建站時候 勾選那個。

zhangds147

如果別人知道webshell的路徑，打開后給你上傳一個phpmyadmin，再找出你的數(shù)據(jù)庫密碼和用戶名登陸后就可以刪除你VPS上所有的數(shù)據(jù)庫。雖然他夸不了站，打包不了你的程序， 但是可以刪除你所有的數(shù)據(jù)庫

我昨天又安裝了kloxo,kloxo可以封鎖所有讀寫上傳功能，但是禁止不了跨站。就安全來講，封鎖讀寫上傳肯定比跨站重要，就是黑客可以跨站，可以看到你網(wǎng)站的數(shù)據(jù)庫用戶密碼。 但是他任何破壞都做不了。

zhangds147

剛才我測試了。黑客用webshell上傳phpmyadmin，再利用你的數(shù)據(jù)庫配置文件得到你的用戶名和密碼，登錄后只能看到該網(wǎng)站目錄下的 數(shù)據(jù)庫， 數(shù)據(jù)庫也不可以跨站。只能在這一個目錄下?lián)v亂。

zhangds147

求解決禁止上傳。。。