标题:
[其它]
webshell不可以跨站但可以读写文件,求助!
[打印本页]
作者:
zhangds147
时间:
2013-9-13 18:42
标题:
webshell不可以跨站但可以读写文件,求助!
下载
(52.27 KB)
2013-9-13 18:37
webshell不可以跨站但可以读写文件,求助!我在一个网站根目录(子目录也测试了)上传一个后门,然后web进入,发现可以上传文件和修改删除文件
文件目录权限是755,求怎么防止后门修改文件?
以前用kolxo的时候就不会这样。
图片附件:
12.jpg
(2013-9-13 18:37, 52.27 KB) / 下载次数 3805
http://wdlinux.cn/bbs/attachment.php?aid=3616&k=9f7c16f085ac55bfcf71de0536cb9307&t=1714041365&sid=80ijV0
作者:
acmkis
时间:
2013-9-13 21:24
如果你用的是apache的话,添加网站的时候勾上“限制目录”即可
用ngnix的话,可以参考这里:http://www.lpboke.com/nginxphp%E9%98%B2%E8%B7%A8%E7%AB%99%E8%B7%A8%E7%9B%AE%E5%BD%95%E7%9A%84%E5%AE%89%E5%85%A8%E8%AE%BE%E7%BD%AE%E5%A4%9A%E7%A7%8D%E6%96%B9%E5%BC%8F%EF%BC%8C%E9%80%82%E5%90%88php5-3%E4%BB%A5%E4%B8%8A.html
作者:
飘云
时间:
2013-9-14 11:39
学习了。不错啊。
作者:
zhangds147
时间:
2013-9-14 12:19
我已经说可以限制目录 不可以限制读写。 你回答的是个P我知道建站时候 勾选那个。
作者:
itxx
时间:
2013-9-16 22:43
回复
4#
zhangds147
由于php的部分函数具有操作系统的权限,建议禁止这些危险函数,例如:system函数可以获取比较高的权限。你提到的问题我们会进一步测试。
作者:
zhangds147
时间:
2013-9-18 17:16
如果别人知道webshell的路径,打开后给你上传一个phpmyadmin,再找出你的数据库密码和用户名登陆后就可以删除你VPS上所有的数据库。虽然他夸不了站,打包不了你的程序, 但是可以删除你所有的数据库
我昨天又安装了kloxo,kloxo可以封锁所有读写上传功能,但是禁止不了跨站。就安全来讲,封锁读写上传肯定比跨站重要,就是黑客可以跨站,可以看到你网站的数据库用户密码。 但是他任何破坏都做不了。
作者:
zhangds147
时间:
2013-9-18 17:32
刚才我测试了。黑客用webshell上传phpmyadmin,再利用你的数据库配置文件得到你的用户名和密码,登录后只能看到该网站目录下的 数据库, 数据库也不可以跨站。只能在这一个目录下捣乱。
作者:
zhangds147
时间:
2013-9-18 23:01
求解决禁止上传。。。
作者:
itxx
时间:
2013-9-19 10:46
回复
8#
zhangds147
测试中,请稍后。。。
作者:
admin
时间:
2013-9-20 15:06
回复
6#
zhangds147
数据库里的话,除了root用户权限,否则,看不到其它用户的数据库的,也操作不了其它的数据库
欢迎光临 WDlinux官方论坛 (http://wdlinux.cn/bbs/)
Powered by Discuz! 7.2
图片附件: 12.jpg (2013-9-13 18:37, 52.27 KB) / 下载次数 3805