用DEDE保证不给shell的方法其实很简单

imsun · 发表于 2012-6-27 11:42:15

joyanhui 发表于 2012-6-27 11:36
linux使用ftp设置权限，或者用chmod

win2003下使用iis去掉可写目录的脚本执行权限，用目录权限管理去掉i ...

郁闷的是哪些目录该进行这些操作?.

ihack520 · 发表于 2012-6-27 11:43:45

要稳妥一点就是把危险文件都删了，文件夹名字都修改了
把dedecms的文件结构改成帝国那样的让入侵者因为是帝国但是又不是帝国。这样就没办法了。

wdlth · 发表于 2012-6-27 11:53:51

joyanhui 发表于 2012-6-27 11:27
你没有思考过啊。

文件包含和模板引用这些东西，压根没有写权限，你怎么把文件引入呢？ ...

开了会员功能，头像、附件能上传不？
旁注上传到其他地方去再用dede调用可以不？
Dedecms 5.7 里面php://input后门知道么？

joyanhui · 发表于 2012-6-27 12:07:18

wdlth 发表于 2012-6-27 11:53
开了会员功能，头像、附件能上传不？
旁注上传到其他地方去再用dede调用可以不？
Dedecms 5.7 里面php:// ...

还是说，你可以上去，但是你不可能调用。

php://input 这种变态的漏洞，本身就是百年一遇东西。

即便是点背遇到了，你依旧不能篡改内容，唯一的利用价值也就是phpddos了。

joyanhui · 发表于 2012-6-27 12:29:00

imsun 发表于 2012-6-27 11:42
郁闷的是哪些目录该进行这些操作?.

自行查看dede说明文档

houzai · 发表于 2012-6-27 12:29:54

很牛..

藐视天地 · 发表于 2012-6-27 12:34:08

有点麻烦

YCYCC · 发表于 2012-6-27 16:53:29

能把详细的配置方法分享一下吗。

iyuheng · 发表于 2012-6-27 18:24:40

哥只上传html，不传php

Kvm · 发表于 2012-6-27 18:28:06

学我吧改下规则把整站的动态链接全部干掉

		自动登录	找回密码
密码			注册