zzzcms网站管理系统

Ghost 是一个简洁、强大的写作平台。你只须专注于用文字表达你的想法就好,其余的事情就让 Ghost 来帮你处理吧。

Ghost 博客系统

zzzcms程序安全说明及使用中注意的安全事项。

网站安全作为建站过程中是一项非常重要的工作,也是最让人头疼的工作。

zzzcms作者为了让zzzcms更安全,更放心的使用,特意又去学习了一遍注入方面的技术,本文再此分享给大家。

总结注入方法:

  1. 一句话木马注入【已修复】


    写法很多,就是找网站上可提交的表单或地址栏输入一句话木马,寻找可写入数据库的位置,如果程序未过滤,将瞬间获取网站空间的管理权

    危害系数5星。

  2. 数据库路径【自己修改】

    很多站长为了省事,下载好了cms程序,改一改模板就上线了,数据库路径也不改,留下了很大的隐患。

    由于cms是开源系统,数据库的路径、名称、字段都是人尽揭晓,所以很可能通过数据库寻找突破口。

    本程序在本地升级中,增加了防下载、防读取功能。

    数据库路径如果是安全的,即使一句话木马注入,一时半会他也找不到执行口,这样也还是安全的。

    危害系数5星

  3. 变异木马【已知已过滤】

    变异木马其实就是将一句话木马变形,例如变成数字,变成asic码,变异编码,js编码等等以跳过程序的安全监测和过滤。

    危害系数4星,

  4. 后台目录【自己修改】

    后台目录具有最高的管理权限和大量的数据提交位置,所以后台目录的隐蔽性极其重要,zzzcms在前台没有暴漏后台路径的地方,所以站长们,切记一定要修改后台管理目录。
    修改方法:文件夹改名,config/zzz_config.asp 改一下名字。

    危害系数4星

  5. 管理密码【自己修改】

    这个问题其实不是问题,但确实有大量的管理员,就愿意用admin,123456这样的初始密码,不愿意改或忘记改,如果是这个原因被黑,只能说nozuonodie。

    危害系数3星

  6. 上传【自己注意】

    正常情况下,只要不允许上传asp等执行文件,也是很难有什么作为的,但如果前台开放上传功能,并通过iis漏洞,上传可执行文件或jpg木马就另当别论了,这就要提醒使用自建服务器xp和win2003的站长了,建议升级iis版本及漏洞。

    危害系数2星

  7. config路径【自己修改】

    已知aspcms注入漏洞,90%以上都是从config.asp上做入口,所以使用zzzcms,config文件路径隐蔽起来是十分必要的,在程序崩溃之前,黑客也毫无办法,当然如果您开启了详细报错,路径也就暴漏了,所以iis和空间设置位置的报错还是关闭的好。

    修改方法:1.文件夹改名config,2.文件改名 /config/zzz_config.asp,3.修改两处引入/inc/zzz_class.asp,/inc/imgcode.asp

    危害系数2星

  8. IIS报错一定要关闭。

  9. 保持程序更新,本站会一直做升级补丁,保证每位用户的安全。

  10. 已经发现被黑,欢迎给作者留言,作者会第一时间帮助您找出问题,并修补漏洞。


最后奉劝各位进阶中的黑客,不要下两个工具就觉得自己是大神了,干点正事,这活没前途,还犯法。

你用的那些工具的作者大神都已经奔40了,人家早都不玩这个了,你还当个宝。

有空学学编程,学学美工,做点对社会有用的事情吧。


Powered by ZZZcms