域名空间 旧版主页 免费下载 教程中心
X1运营交流
官方动态 功能建议 插件模块 风格模板 问题反馈 技术交流 站长杂谈 代码共享 V系列产品 运营交流
社区主页  X1运营交流  官方动态
分享
  • 收藏
  • 举报
    X
    发现有部分用户的网站存在非常严重的跨目录漏洞
    2461
    23

    只要一个网站中毒.其它所有网站.甚至整个硬盘都会受牵连.大家可以看看下面的载图


    装了 齐博神盾1.0 以后,可以有效的劫持部分恶意操作





    考虑至此,我们晚点再尽快开发一个木马查杀工具。



    大家可以下载附件,解压之后,把test.php放在网站根目录,看看能不能把上层目录读取出来,如果可以读出来的话,就代表你的服务器存在跨目录访问漏洞


    1_201901241850108da74.rar


    出现类似以下截图才代表安全.



    下面这种就是存在漏洞的



    分享 apache如何禁止网站跨目录漏洞 的方法 


    <VirtualHost *:80>

    DocumentRoot "D :\www\http\wx_php168_com"
    ServerName wx.php168.com
    php_admin_value open_basedir "D:\www\http\wx_php168_com;C:\Windows\Temp"

</VirtualHost>


    关键点就是这里

    php_admin_value open_basedir "D:\www\http\wx_php168_com;C:\Windows\Temp"

    这样就可以限死每个网站只能访问自己的目录, 不能跨其它目录的网站


    必须要这样做,否则一旦某个网站中木马,你整个硬盘都可以被操控!

    15
    赏礼
    赏钱
    收藏
    点击回复
        全部留言
    • 23
    • 宁静致远-1 普通粉丝 消费:10元 2020-05-29 18:37 18:376楼
      把上面代码插入httpd.conf后,重启存在网站无法访问的问题。
      宁静致远-1 消费:10元 2020-05-29 18:38
      不知道为什么。我的是apche,阿里云,centos
    0 赏钱 赏礼回复
    • ZQJ 实战运营者 消费:5159.19元 2019-09-28 17:21 17:216楼

      我的打不开,是空白的 是什么意思  没显示 什么 出来 。

      阿赖耶识 消费:24.43元 2019-09-28 17:25
      空白表示正常
    0 赏钱 赏礼回复
    天生我才必有用
    • admin 超级管理员 消费:3.03元 2019-09-28 12:12 12:126楼
      很多人还是存在这个问题的.
      韦成继 消费:4532.1元 2019-09-28 17:12
      宝塔面板nginx怎么防止跨目录?
    0 赏钱 赏礼回复
    网站没有直接报错,如何查看错误原因,解决方案如下:
    https://www.kancloud.cn/php168/x1_of_qibo/1544387
    • selon 程序开发者 消费:1403.01元 2019-06-21 10:08 10:086楼

      我想知道win+IIS遇到了这样的情况怎么处理

    0 赏钱 赏礼回复
    道,可道,非常道;名,可名,非常名。
    • 灰太狼 普通粉丝 消费:0元 2019-02-27 19:37 19:376楼

      那这样是安全还是不安全的呢?本地测试

    0 赏钱 赏礼回复
    • 石头 风格开发者 消费:21923.34元 2019-01-25 23:07 23:076楼

      已经全部成功配置

    0 赏钱 赏礼回复
    《齐博门户方案》助您快速建立可赚钱的本地生活服务平台。
    • Szup.com乐刷朱弟 实战运营者 消费:4704.58元 2019-01-25 11:08 11:086楼


      我打开是这样的,安全么

      码农 消费:0元 2019-01-25 11:19
      你的目录都读出来了.非常危险 ,摆明就存在跨站漏洞
      Szup.com乐刷朱弟 消费:4704.58元 iPhone 2019-01-25 11:20
      。。
      坚持 消费:0元 2019-01-25 11:22
      朱弟,你怕毛啊,你不是天天喊求攻击的吗?哈哈
      Szup.com乐刷朱弟 消费:4704.58元 iPhone 2019-01-25 11:23
      swstt 消费:120.79元 2019-01-25 12:03
      楼主,安全的服务器,应该像楼下的“hxbsj88”用户显示的那样的! 
      Szup.com乐刷朱弟 消费:4704.58元 2019-01-25 12:17
      谢谢,我在研究下
      码农 消费:0元 2019-01-25 17:49
      上面有教程了
    0 赏钱 赏礼回复
    欢迎来访http://www.Szup.com

    活着比什么都重要
    • 齐博微圈 风格开发者 消费:387.63元 2019-01-24 21:10 21:106楼

      @admin 选择黄页名片  黄页风格不生效了

      swstt 消费:120.79元 2019-01-24 21:29
      你也发现这个问题啦?
      好像Windows的机器没问题...
      Linux 的机器有问题... 
      swstt 消费:120.79元 2019-01-24 21:30
      我前几天就发现了,没说... 
      齐博微圈 消费:387.63元 华为 2019-01-24 23:09
      @swstt  有用户反应才发现
    1 赏钱 赏礼回复
    • hxbsj88 白金粉丝 消费:4013.66元 2019-01-24 19:05 19:056楼

      我打开是这样的:

      admin 消费:3.03元 2019-01-24 19:25
      那就代表安全的
    0 赏钱 赏礼回复
    更多回复
    恢复多功能编辑器
  • 3 1
    • X1运营交流
        圈内贴子51608
    • 圈子成员1010
    本圈子内的新贴

    热门分类
    推荐内容
    扫一扫访问手机版
    请选择要切换的马甲:

    打造最专业的开源系统建站程序
     
    网页即时交流
    QQ咨询
    咨询热线
    020-28998648
    微信扫一扫
    加客服微信