X1运营交流
发现有部分用户的网站存在非常严重的跨目录漏洞
917
21

只要一个网站中毒.其它所有网站.甚至整个硬盘都会受牵连.大家可以看看下面的载图


装了 齐博神盾1.0 以后,可以有效的劫持部分恶意操作





考虑至此,我们晚点再尽快开发一个木马查杀工具。



大家可以下载附件,解压之后,把test.php放在网站根目录,看看能不能把上层目录读取出来,如果可以读出来的话,就代表你的服务器存在跨目录访问漏洞


1_201901241850108da74.rar


出现类似以下截图才代表安全.



下面这种就是存在漏洞的



分享 apache如何禁止网站跨目录漏洞 的方法 


<VirtualHost *:80>

    DocumentRoot "D :\www\http\wx_php168_com"
    ServerName wx.php168.com
    php_admin_value open_basedir "D:\www\http\wx_php168_com;C:\Windows\Temp"

</VirtualHost>


关键点就是这里

php_admin_value open_basedir "D:\www\http\wx_php168_com;C:\Windows\Temp"

这样就可以限死每个网站只能访问自己的目录, 不能跨其它目录的网站


必须要这样做,否则一旦某个网站中木马,你整个硬盘都可以被操控!

6
打赏
收藏
点击回复
      全部留言
  • 21
  • 志乾居ZQJ 普通粉丝 消费:3052.7元 1个月前 17:211楼

    我的打不开,是空白的 是什么意思  没显示 什么 出来 。

    torylf 消费:24.43元 1个月前
    空白表示正常
  • admin 超级管理员 消费:2.88元 1个月前 12:122楼
    很多人还是存在这个问题的.
    韦成继 消费:3187.26元 1个月前
    宝塔面板nginx怎么防止跨目录?
  • selon 程序开发者 消费:1403.01元 5个月前 10:082楼

    我想知道win+IIS遇到了这样的情况怎么处理

  • 灰太狼 普通粉丝 消费:0元 8个月前 19:373楼

    那这样是安全还是不安全的呢?本地测试

  • 石头 风格开发者 消费:9087.32元 9个月前 23:074楼

    已经全部成功配置

  • Szup.com乐刷朱弟 普通粉丝 消费:2689.44元 9个月前 11:085楼


    我打开是这样的,安全么

    码农 消费:0元 9个月前
    你的目录都读出来了.非常危险 ,摆明就存在跨站漏洞
    Szup.com乐刷朱弟 消费:2689.44元 iPhone 9个月前
    。。
    坚持 消费:0元 9个月前
    朱弟,你怕毛啊,你不是天天喊求攻击的吗?哈哈
    Szup.com乐刷朱弟 消费:2689.44元 iPhone 9个月前
    swstt 消费:16.62元 9个月前
    楼主,安全的服务器,应该像楼下的“hxbsj88”用户显示的那样的! 
    Szup.com乐刷朱弟 消费:2689.44元 9个月前
    谢谢,我在研究下
    码农 消费:0元 9个月前
    上面有教程了
  • 齐博微圈 风格开发者 消费:387.62元 10个月前 21:108楼

    @admin 选择黄页名片  黄页风格不生效了

    swstt 消费:16.62元 10个月前
    你也发现这个问题啦?
    好像Windows的机器没问题...
    Linux 的机器有问题... 
    swstt 消费:16.62元 10个月前
    我前几天就发现了,没说... 
    齐博微圈 消费:387.62元 华为 9个月前
    @swstt  有用户反应才发现
  • hxbsj88 白金粉丝 消费:1928.86元 10个月前 19:054楼

    我打开是这样的:

    admin 消费:2.88元 10个月前
    那就代表安全的
更多回复
X1运营交流
      圈内贴子13637
  • 圈子成员354
本圈子内的新贴

热门分类
推荐内容
扫一扫访问手机版
请选择要切换的马甲: