注册
登录
关注:
官网首页
阿里云8折
论坛
wdCDN系统
智能DNS软件
搜索
私人消息 (0)
公共消息 (0)
论坛任务 (0)
系统消息 (0)
好友消息 (0)
帖子消息 (0)
WDlinux官方论坛
»
lamp|lnmp|lnamp|一键安装包
» webshell不可以跨站但可以读写文件,求助!
无标题文档
wdCP系统
(
介绍
,
功能特性
,
运行环境
,
安装说明
,
演示
,
常见问题
,
使用教程
)
wdCDN系统
(
介绍
,
功能特性
,
运行环境
,
安装说明
,
演示
,
常见问题
,
使用手册
)
wdOS系统
(
介绍
,
功能特性
,
运行环境
,
安装说明
,
演示
,
常见问题
,
使用教程
)
wdDNS系统
(
介绍
,
功能特性
,
运行环境
,
安装说明
,
演示
,
常见问题
,
使用手册
)
注册 发贴 提问 回复-必看必看
wddns免费智能 DNS
开通
本地或虚拟机使 用wdcp
一键包在mysql编 译时"卡住"
【300G高防】双线 无视攻击
wdcp官方技术支持/服务
阿里云8折优惠券
无敌云
腾讯云优惠中,现注册更有260代金额券赠送
返回列表
发帖
zhangds147
发短消息
加为好友
zhangds147
当前离线
UID
22770
帖子
47
精华
0
积分
362
阅读权限
20
在线时间
26 小时
注册时间
2013-9-1
最后登录
2018-5-9
注册会员
1
#
跳转到
»
倒序看帖
打印
字体大小:
t
T
发表于 2013-9-13 18:42
|
只看该作者
提问三步曲:
提问先看教程/FAQ索引(
wdcp
,
wdcp_v3
,
一键包
)及搜索,会让你更快解决问题
1 提供详细,如系统版本,wdcp版本,软件版本等及错误的详细信息,贴上论坛或截图发论坛
2 做过哪些操作或改动设置等
温馨提示:信息不详,很可能会没人理你!论坛有教程说明的,也可能没人理!因为,你懂的
[其它]
webshell不可以跨站但可以读写文件,求助!
下载
(52.27 KB)
2013-9-13 18:37
webshell不可以跨站但可以读写文件,求助!我在一个网站根目录(子目录也测试了)上传一个后门,然后web进入,发现可以上传文件和修改删除文件
文件目录权限是755,求怎么防止后门修改文件?
以前用kolxo的时候就不会这样。
收藏
分享
acmkis
发短消息
加为好友
acmkis
当前离线
UID
15437
帖子
9
精华
0
积分
25
阅读权限
10
在线时间
222 小时
注册时间
2013-1-8
最后登录
2016-8-31
新手上路
2
#
发表于 2013-9-13 21:24
|
只看该作者
如果你用的是apache的话,添加网站的时候勾上“限制目录”即可
用ngnix的话,可以参考这里:http://www.lpboke.com/nginxphp%E9%98%B2%E8%B7%A8%E7%AB%99%E8%B7%A8%E7%9B%AE%E5%BD%95%E7%9A%84%E5%AE%89%E5%85%A8%E8%AE%BE%E7%BD%AE%E5%A4%9A%E7%A7%8D%E6%96%B9%E5%BC%8F%EF%BC%8C%E9%80%82%E5%90%88php5-3%E4%BB%A5%E4%B8%8A.html
TOP
飘云
发短消息
加为好友
飘云
当前离线
UID
2595
帖子
10
精华
0
积分
51
阅读权限
20
在线时间
70 小时
注册时间
2012-2-25
最后登录
2018-4-23
注册会员
3
#
发表于 2013-9-14 11:39
|
只看该作者
学习了。不错啊。
TOP
zhangds147
发短消息
加为好友
zhangds147
当前离线
UID
22770
帖子
47
精华
0
积分
362
阅读权限
20
在线时间
26 小时
注册时间
2013-9-1
最后登录
2018-5-9
注册会员
4
#
发表于 2013-9-14 12:19
|
只看该作者
我已经说可以限制目录 不可以限制读写。 你回答的是个P我知道建站时候 勾选那个。
TOP
itxx
发短消息
加为好友
itxx
当前离线
UID
3504
帖子
107
精华
1
积分
312
阅读权限
100
在线时间
96 小时
注册时间
2012-3-15
最后登录
2015-9-28
版主
5
#
发表于 2013-9-16 22:43
|
只看该作者
回复
4#
zhangds147
由于php的部分函数具有操作系统的权限,建议禁止这些危险函数,例如:system函数可以获取比较高的权限。你提到的问题我们会进一步测试。
My.Blog.->itxx.sinaapp.com
TOP
zhangds147
发短消息
加为好友
zhangds147
当前离线
UID
22770
帖子
47
精华
0
积分
362
阅读权限
20
在线时间
26 小时
注册时间
2013-9-1
最后登录
2018-5-9
注册会员
6
#
发表于 2013-9-18 17:16
|
只看该作者
如果别人知道webshell的路径,打开后给你上传一个phpmyadmin,再找出你的数据库密码和用户名登陆后就可以删除你VPS上所有的数据库。虽然他夸不了站,打包不了你的程序, 但是可以删除你所有的数据库
我昨天又安装了kloxo,kloxo可以封锁所有读写上传功能,但是禁止不了跨站。就安全来讲,封锁读写上传肯定比跨站重要,就是黑客可以跨站,可以看到你网站的数据库用户密码。 但是他任何破坏都做不了。
TOP
zhangds147
发短消息
加为好友
zhangds147
当前离线
UID
22770
帖子
47
精华
0
积分
362
阅读权限
20
在线时间
26 小时
注册时间
2013-9-1
最后登录
2018-5-9
注册会员
7
#
发表于 2013-9-18 17:32
|
只看该作者
刚才我测试了。黑客用webshell上传phpmyadmin,再利用你的数据库配置文件得到你的用户名和密码,登录后只能看到该网站目录下的 数据库, 数据库也不可以跨站。只能在这一个目录下捣乱。
TOP
zhangds147
发短消息
加为好友
zhangds147
当前离线
UID
22770
帖子
47
精华
0
积分
362
阅读权限
20
在线时间
26 小时
注册时间
2013-9-1
最后登录
2018-5-9
注册会员
8
#
发表于 2013-9-18 23:01
|
只看该作者
求解决禁止上传。。。
TOP
itxx
发短消息
加为好友
itxx
当前离线
UID
3504
帖子
107
精华
1
积分
312
阅读权限
100
在线时间
96 小时
注册时间
2012-3-15
最后登录
2015-9-28
版主
9
#
发表于 2013-9-19 10:46
|
只看该作者
回复
8#
zhangds147
测试中,请稍后。。。
My.Blog.->itxx.sinaapp.com
TOP
admin
发短消息
加为好友
admin
当前离线
UID
1
帖子
9587
精华
3
积分
29636
阅读权限
200
在线时间
17314 小时
注册时间
2011-11-15
最后登录
2024-4-19
管理员
10
#
发表于 2013-9-20 15:06
|
只看该作者
回复
6#
zhangds147
数据库里的话,除了root用户权限,否则,看不到其它用户的数据库的,也操作不了其它的数据库
看清提问三步曲及多看教程/FAQ索引(
wdcp
,
v3
,
一键包
,
wdOS
),益处多多.
wdcp工具集
阿里云主机8折优惠码
TOP
返回列表
我的Linux|wdlinux
ai|大模型|大数据
开源精选
wdCP V3|Linux服务器/云主机/虚拟主机管理系统
wddns|智能DNS系统|免费智能DNS解析
lamp|lnmp|lnamp|一键安装包
wdCP V2|linux下免费的服务器/虚拟主机管理系统
wdcdn系统|CDN缓存加速管理系统
wdOS|CentOS精简版|CentOS定制版
区块链技术|智能合约|区块链开发
wdlinux学堂|wdOS知识库|linux知识库|教程|文档
站务管理
站务管理
[收藏此主题]
[关注此主题的新回复]
[通过 QQ、MSN 分享给朋友]
发表于 2013-9-13 18:42
| 
发表于 2013-9-16 22:43
| 
发表于 2013-9-20 15:06
|