問：您好，,轉(zhuǎn)接入備案，之前電話更換了咋辦

答：您好，

問：您好，修改負(fù)責(zé)人信息，需要上傳營(yíng)業(yè)執(zhí)照，只能拍照不能在相冊(cè)上傳？

答：您好，是的，目前備案已啟用電子化核驗(yàn)，營(yíng)業(yè)執(zhí)照需掃碼后原件拍攝上傳，無(wú)法選擇相冊(cè)中已拍攝好的照片 ,非常感謝您長(zhǎng)期對(duì)我司的支持.由此給您帶來的不便之處,敬請(qǐng)?jiān)?謝謝!

問：剛通過電話，請(qǐng)幫忙我們排查我們空間里 網(wǎng)站的 程序漏洞 及 告知 主機(jī)面板的防控設(shè)置解決方式 
程序漏洞包括： 1、繞過網(wǎng)站后臺(tái)管理員 直接登錄網(wǎng)站后臺(tái)的漏洞2、通過文件 upfile_flash.asp 、 upfile_other.asp  及 upimg.asp （調(diào)用前面2個(gè)文件） 上傳非法的 .JPG（實(shí)際后綴為.asp .php ）  .ASP  .PHP 注入文件漏洞3、修改 非法上傳的.JPG文件 為 .PHP等后綴的漏洞4、刪除非法注入的文件的漏洞 …
主機(jī)面板的防控設(shè)置
謝謝

答：您好，
1.1繞過管理員漏洞，在瀏覽器中添加Cookie值 ,以http://www.smdjc.cn/為例
1.2 訪問網(wǎng)站后臺(tái)地址http://www.smdjc.cn//manage.asp 不需要驗(yàn)證，直接全部控制全部功能
1.3 訪問 http://www.smdjc.cn/upimg.asp
F12 修改下表單中的文件后綴

后期在配合編輯器漏洞，修改文件名，則完全控制整個(gè)空間，編輯器漏洞需要專業(yè)的工具繞過，我們不在演示
安全設(shè)置建議：
2.禁止空間php執(zhí)行  ，在控制面板設(shè)置
,非常感謝您長(zhǎng)期對(duì)我司的支持！

問：我們數(shù)據(jù)庫(kù)文件放在 data 文件夾里 ，數(shù)據(jù)庫(kù)文件后綴一般是   .cn   .com  .mdb  這種 后綴  ，給data 這個(gè)設(shè)置了 目錄保護(hù)會(huì)不會(huì)影響數(shù)據(jù)的寫入、運(yùn)行那些？

答：您好，沒有影響，目錄保護(hù)的作用是限制里面的動(dòng)態(tài)腳本執(zhí)行，并不影響里面的文件讀寫,非常感謝您長(zhǎng)期對(duì)我司的支持！

問：再問下：  后臺(tái)的登錄漏洞，我們程序同事給處理堵住 解決后，是不是 別人就無(wú)法再進(jìn)入網(wǎng)站 后臺(tái) 上傳、注入文件了？  

答：您好，后臺(tái)漏洞堵住后安全會(huì)有提升，另外編輯器還是有很多漏洞，并不需要登錄后臺(tái)就能訪問的
比如：
https://www.smdjc.cn/lxlweb/Upload.asp
http://www.smdjc.cn/lxlweb/Example/test1.asp
http://www.smdjc.cn/lxlweb/Example/test2.asp
如果能把編輯器也升級(jí)一下，就會(huì)安全很多,非常感謝您長(zhǎng)期對(duì)我司的支持！

問：所有被注入的網(wǎng)站，最后還是跟蹤到 upfile_flash.asp （網(wǎng)站里上圖圖片的文件）文件了,  ： 這個(gè)文件都是通過什么訪問的？ 通過后臺(tái)文件的調(diào)用訪問，還是怎么訪問到的？ 

答：您好，從前面2個(gè)網(wǎng)站追蹤上看應(yīng)該是訪問的/upimg.asp文件，upfile_flash.asp只是處理上傳的文件,非常感謝您長(zhǎng)期對(duì)我司的支持！

問：哦， upimg.asp是調(diào)用 upfile_flash.asp 的；   
那問一下： 訪問 upimg.asp   這個(gè)文件都是通過什么訪問的？ 通過網(wǎng)站后臺(tái)文件的調(diào)用訪問，還是怎么訪問到的？ 別人怎么知道這個(gè)文件的？

答：您好，這種不好追蹤，初步懷疑是這套程序成之前已經(jīng)被人下載破解了，黑客通過源碼分析到了后臺(tái)漏洞，并利用這些漏洞批量掃描您的網(wǎng)站統(tǒng)一篡改,非常感謝您長(zhǎng)期對(duì)我司的支持！





猜你還會(huì)喜歡下面的內(nèi)容

• 這個(gè)怎么處理呢-備案平臺(tái)
• 幫查下備案是否有問題-備案平臺(tái)
• 最后一步人臉識(shí)別不成功-備案平臺(tái)
• 新增修改備案 麻煩加急審核一下 謝謝
• 請(qǐng)問咱們采購(gòu)虛擬主機(jī)的平臺(tái)入口在哪里？
• 網(wǎng)站備案一次性能提交幾個(gè)？
• 客戶沒收到短信 再發(fā)一次
• 新增備案 麻煩審核一下-備案平臺(tái)
• 農(nóng)藥類的網(wǎng)站用前置審批嗎
• 成功取消接入的網(wǎng)站，多久可以重新備案
• 網(wǎng)站一直都是用的西部數(shù)碼的主機(jī)怎么說IP地址不對(duì)要取消備案號(hào)
• ddyjj.cn 有解析,有綁定,有流量,能打開,非我司國(guó)內(nèi)
• 備案身份證沒過審，沒刪除按鈕呢
• 域名被注銷?。。?！為什么影響到cn域名，?。。。?！
• 備案中掃碼人臉驗(yàn)證提示人臉比對(duì)不一致怎么辦
• 公司名稱變更需要重新備案

熱門標(biāo)簽

其他問題云服務(wù)器問題域名及賬戶問題企業(yè)郵局市場(chǎng)咨詢云服務(wù)器云建站/云站群/小程序虛擬主機(jī)網(wǎng)絡(luò)知識(shí)企業(yè)郵箱域名注冊(cè)域名備案域名商標(biāo)注冊(cè)云主機(jī)更多標(biāo)簽...

大家感興趣的內(nèi)容