首页>信息安全>

阅读新闻

新云 4.0版爆漏洞 用户中心成安全问题源头

来源:Chinaz 作者: 日期:2009-09-23 11:30
  中国站长站Chinaz.com讯 日前有用户通过匿名投稿,爆料新云4.0存在漏洞,黑客可以利用用户中心中的发布软件功能,上传木马。
  
  在这位投递者的网站中提供了相关了Oday视频下载,入侵者通过关键词inurl:soft/show.asp?id=搜索相关内容,然后进行用户注册,进而提交ASA格式的图片木马,获得相应的权限。
  
  以下为用户投递入侵相关过程的内容:
  
  访问ask目录,注册用户
  
  在密码问题的地方插入加密后的一句话:┼攠数畣整爠焕敌瑳∨≡┩忾
  
  注册成功后连接默认数据库:ask/data/ask_newasp.asa 密码
  
  相关安全措施:
  
  更改后台地址和账号密码(不使用默认账号密码)
  
  在不需要会员注册功能前提下,删除user目录,禁用会员注册,更改模版,让页面无登录口出现,这样做的目的:1.加快页面速度、2.使SQL无法注入3、便于搜索引擎检索
  
  、更改 co .a 文件名称,用文件查找替换功能换成你自己更改的名称,如 good.a 等。这样做,使人无法知道 co .a 是你的数据库连接文件,做到安全防护。
  
  、选择对 shell32.dlll、Scripting.FileSystemObject、cmd.exe控制权限严格的服务器,这样的目的:使ASP木马无法正常运行,有利于对新云系统的安全。
  
  、经常备份数据库,一个星期至少备份一次数据,即使数据丢失也可立即恢复。
  
  而在新云官方网站目前仍未提供相关的补丁以及安全措施,另有一位ID为3389hack的用户称,提交给官方后,官方至今未有回音,并且已发现第二个漏洞。(中国站长站)
数据统计中!!
------分隔线----------------------------
发表评论
请自觉遵守互联网相关的政策法规,严禁发布色情、暴力、反动的言论。
评价:
表情:
验证码:点击我更换图片

推荐内容

热点内容