dedecms的0day漏洞的问题一直是dedecms用户头疼的问题,尽管官方也出一些漏洞补丁,个人总是觉得不太安全,经过一段时间的研究,总结一个通过设置网站的文件夹权限设置,经过一段时间的试验,效果还是很好。现在分享给大家。
web网站的注入一直各种web程序的一个软肋,特别对开源的而且有大规模应用的代码,一般注入的方式都是通过程序上传、sql注入方式上传webshell程序,从而把恶意代码以及广告信息注入到主站的程序里。如asp木马、asp.net木马、php木马及jsp木马。通过木马进一步提升权限使被注入的网站或服务器成为肉鸡。这就是注入常用方式。所有的注入最关键的都是要上传一个对应的木马程序到网站内并来执行这个木马程序来攻陷网站,到这里我们已经知道问题所在。接下来我们来给网站的配置文件做一些配置修改来杜绝木马程序执行,注入者无法执行他的木马程序就拿你的网站没辙了。这里我就以dedecms的程序做一个简单说明,其他类型的网站可以同理。
我们都知道dedecms前台是生成静态页面默认放在一个a的文件夹了,还有上传的文件夹uploads,因为这两个文件夹里都是静态页面或者是图片、文件等,没有什么运行的程序,我们只要设置这两个文件夹不能运行程序,注入者就是上传了木马也不能运行,就拿网站没辙。dedecms使用php+mysql,一般运行apache或者nginx下面,接下来配置一下站点配置文件,添加如下代码。
nginx(已验证)
location /uploads {
location ~ .*\.(php)?$
{
deny all;
}
}
location /a/ {
location ~ .*\.(php)?$
{
deny all;
}
}
这段代码的意思设置这两个文件夹下面的php文件禁止运行。如果你想设置其他文件夹禁止运行php自行修改。
注意:这段代码一定要放在location ~ \.php$ {之前。
设置完后重新加载一下nginx配置生效了。
apache(未验证)
修改站点配置文件(linux服务器)
<Directory /*/a>
php_flag engine off
</Directory>
<Directory /*/uploads>
php_flag engine off
</Directory>
修改站点配置文件(window服务器)
<Directory “/var/www/uploads”>
<FilesMatch “.php”>
Order Allow,Deny
Deny from all
</FilesMatch>
</Directory>
<Directory “/var/www/a”>
<FilesMatch “.php”>
Order Allow,Deny
Deny from all
</FilesMatch>
</Directory>
在要屏蔽文件夹的目录创建.htaccess文件,内容添加
<Files ~ ".php">
Order allow,deny
Deny from all
</Files>
通过上面设置,注入者也无奈了。
101
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
