无标题文档
wdCP系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程) wdCDN系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
wdOS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用教程) wdDNS系统 (介绍,功能特性,运行环境,安装说明,演示,常见问题,使用手册)
注册 发贴 提问 回复-必看必看 wddns免费智能 DNS 开通 本地或虚拟机使 用wdcp 一键包在mysql编 译时"卡住"
【300G高防】双线 无视攻击 wdcp官方技术支持/服务 阿里云8折优惠券 无敌云 腾讯云优惠中,现注册更有260代金额券赠送
返回列表 发帖
提问三步曲: 提问先看教程/FAQ索引(wdcp,wdcp_v3,一键包)及搜索,会让你更快解决问题
1 提供详细,如系统版本,wdcp版本,软件版本等及错误的详细信息,贴上论坛或截图发论坛
2 做过哪些操作或改动设置等

温馨提示:信息不详,很可能会没人理你!论坛有教程说明的,也可能没人理!因为,你懂的

[其它] webshell不可以跨站但可以读写文件,求助!

12.jpg
2013-9-13 18:37

webshell不可以跨站但可以读写文件,求助!我在一个网站根目录(子目录也测试了)上传一个后门,然后web进入,发现可以上传文件和修改删除文件

文件目录权限是755,求怎么防止后门修改文件?

以前用kolxo的时候就不会这样。

如果你用的是apache的话,添加网站的时候勾上“限制目录”即可
用ngnix的话,可以参考这里:http://www.lpboke.com/nginxphp%E9%98%B2%E8%B7%A8%E7%AB%99%E8%B7%A8%E7%9B%AE%E5%BD%95%E7%9A%84%E5%AE%89%E5%85%A8%E8%AE%BE%E7%BD%AE%E5%A4%9A%E7%A7%8D%E6%96%B9%E5%BC%8F%EF%BC%8C%E9%80%82%E5%90%88php5-3%E4%BB%A5%E4%B8%8A.html

TOP

学习了。不错啊。

TOP

我已经说可以限制目录 不可以限制读写。 你回答的是个P我知道建站时候 勾选那个。

TOP

回复 4# zhangds147

由于php的部分函数具有操作系统的权限,建议禁止这些危险函数,例如:system函数可以获取比较高的权限。你提到的问题我们会进一步测试。

TOP

如果别人知道webshell的路径,打开后给你上传一个phpmyadmin,再找出你的数据库密码和用户名登陆后就可以删除你VPS上所有的数据库。虽然他夸不了站,打包不了你的程序, 但是可以删除你所有的数据库

我昨天又安装了kloxo,kloxo可以封锁所有读写上传功能,但是禁止不了跨站。就安全来讲,封锁读写上传肯定比跨站重要,就是黑客可以跨站,可以看到你网站的数据库用户密码。 但是他任何破坏都做不了。

TOP

刚才我测试了。黑客用webshell上传phpmyadmin,再利用你的数据库配置文件得到你的用户名和密码,登录后只能看到该网站目录下的 数据库, 数据库也不可以跨站。只能在这一个目录下捣乱。

TOP

求解决禁止上传。。。

TOP

回复 8# zhangds147


   测试中,请稍后。。。

TOP

回复 6# zhangds147

数据库里的话,除了root用户权限,否则,看不到其它用户的数据库的,也操作不了其它的数据库
看清提问三步曲及多看教程/FAQ索引(wdcp,v3,一键包,wdOS),益处多多.wdcp工具集 阿里云主机8折优惠码

TOP

返回列表