X1运营交流
发现有部分用户的网站存在非常严重的跨目录漏洞
1209
23

只要一个网站中毒.其它所有网站.甚至整个硬盘都会受牵连.大家可以看看下面的载图


装了 齐博神盾1.0 以后,可以有效的劫持部分恶意操作





考虑至此,我们晚点再尽快开发一个木马查杀工具。



大家可以下载附件,解压之后,把test.php放在网站根目录,看看能不能把上层目录读取出来,如果可以读出来的话,就代表你的服务器存在跨目录访问漏洞


1_201901241850108da74.rar


出现类似以下截图才代表安全.



下面这种就是存在漏洞的



分享 apache如何禁止网站跨目录漏洞 的方法 


<VirtualHost *:80>

    DocumentRoot "D :\www\http\wx_php168_com"
    ServerName wx.php168.com
    php_admin_value open_basedir "D:\www\http\wx_php168_com;C:\Windows\Temp"

</VirtualHost>


关键点就是这里

php_admin_value open_basedir "D:\www\http\wx_php168_com;C:\Windows\Temp"

这样就可以限死每个网站只能访问自己的目录, 不能跨其它目录的网站


必须要这样做,否则一旦某个网站中木马,你整个硬盘都可以被操控!

7
赏礼
赏钱
收藏
点击回复
      全部留言
  • 23
  • 宁静致远-1 普通粉丝 消费:0元 1个月前 18:374楼
    把上面代码插入httpd.conf后,重启存在网站无法访问的问题。
    宁静致远-1 消费:0元 1个月前
    不知道为什么。我的是apche,阿里云,centos
0 赏钱 赏礼回复
  • 志乾居ZQJ 普通粉丝 消费:3607.49元 9个月前 17:214楼

    我的打不开,是空白的 是什么意思  没显示 什么 出来 。

    阿赖耶识 消费:24.43元 9个月前
    空白表示正常
0 赏钱 赏礼回复
  • admin 超级管理员 消费:2.88元 9个月前 12:124楼
    很多人还是存在这个问题的.
    韦成继 消费:3864.29元 9个月前
    宝塔面板nginx怎么防止跨目录?
0 赏钱 赏礼回复
  • selon 程序开发者 消费:1403.01元 2019-06-21 10:08 10:084楼

    我想知道win+IIS遇到了这样的情况怎么处理

0 赏钱 赏礼回复
  • 灰太狼 普通粉丝 消费:0元 2019-02-27 19:37 19:374楼

    那这样是安全还是不安全的呢?本地测试

0 赏钱 赏礼回复
  • 石头 风格开发者 消费:14497.32元 2019-01-25 23:07 23:074楼

    已经全部成功配置

0 赏钱 赏礼回复
  • Szup.com乐刷朱弟 普通粉丝 消费:2790.45元 2019-01-25 11:08 11:084楼


    我打开是这样的,安全么

    码农 消费:0元 2019-01-25 11:19
    你的目录都读出来了.非常危险 ,摆明就存在跨站漏洞
    Szup.com乐刷朱弟 消费:2790.45元 iPhone 2019-01-25 11:20
    。。
    坚持 消费:0元 2019-01-25 11:22
    朱弟,你怕毛啊,你不是天天喊求攻击的吗?哈哈
    Szup.com乐刷朱弟 消费:2790.45元 iPhone 2019-01-25 11:23
    swstt 消费:116.62元 2019-01-25 12:03
    楼主,安全的服务器,应该像楼下的“hxbsj88”用户显示的那样的! 
    Szup.com乐刷朱弟 消费:2790.45元 2019-01-25 12:17
    谢谢,我在研究下
    码农 消费:0元 2019-01-25 17:49
    上面有教程了
0 赏钱 赏礼回复
  • 齐博微圈 风格开发者 消费:387.62元 2019-01-24 21:10 21:104楼

    @admin 选择黄页名片  黄页风格不生效了

    swstt 消费:116.62元 2019-01-24 21:29
    你也发现这个问题啦?
    好像Windows的机器没问题...
    Linux 的机器有问题... 
    swstt 消费:116.62元 2019-01-24 21:30
    我前几天就发现了,没说... 
    齐博微圈 消费:387.62元 华为 2019-01-24 23:09
    @swstt  有用户反应才发现
1 赏钱 赏礼回复
  • hxbsj88 白金粉丝 消费:2487.86元 2019-01-24 19:05 19:054楼

    我打开是这样的:

    admin 消费:2.88元 2019-01-24 19:25
    那就代表安全的
0 赏钱 赏礼回复
更多回复
X1运营交流
      圈内贴子28110
  • 圈子成员664
本圈子内的新贴

推荐内容
扫一扫访问手机版
请选择要切换的马甲:

 
网页即时交流
QQ咨询
咨询热线
020-28998648