问:您好,,转接入备案,之前电话更换了咋办
答:您好,
问:您好,修改负责人信息,需要上传营业执照,只能拍照不能在相册上传?
答:您好,是的,目前备案已启用电子化核验,营业执照需扫码后原件拍摄上传,无法选择相册中已拍摄好的照片 ,非常感谢您长期对我司的支持.由此给您带来的不便之处,敬请原谅!谢谢!
问:刚通过电话,请帮忙我们排查我们空间里 网站的 程序漏洞 及 告知 主机面板的防控设置解决方式
程序漏洞包括: 1、绕过网站后台管理员 直接登录网站后台的漏洞2、通过文件 upfile_flash.asp 、 upfile_other.asp 及 upimg.asp (调用前面2个文件) 上传非法的 .JPG(实际后缀为.asp .php ) .ASP .PHP 注入文件漏洞3、修改 非法上传的.JPG文件 为 .PHP等后缀的漏洞4、删除非法注入的文件的漏洞 …
主机面板的防控设置
谢谢
答:您好,
1.1绕过管理员漏洞,在浏览器中添加Cookie值 ,以http://www.smdjc.cn/为例
1.2 访问网站后台地址http://www.smdjc.cn//manage.asp 不需要验证,直接全部控制全部功能
1.3 访问 http://www.smdjc.cn/upimg.asp
F12 修改下表单中的文件后缀
后期在配合编辑器漏洞,修改文件名,则完全控制整个空间,编辑器漏洞需要专业的工具绕过,我们不在演示
安全设置建议:
2.禁止空间php执行 ,在控制面板设置
,非常感谢您长期对我司的支持!
问:我们数据库文件放在 data 文件夹里 ,数据库文件后缀一般是 .cn .com .mdb 这种 后缀 ,给data 这个设置了 目录保护会不会影响数据的写入、运行那些?
答:您好,没有影响,目录保护的作用是限制里面的动态脚本执行,并不影响里面的文件读写,非常感谢您长期对我司的支持!
问:再问下: 后台的登录漏洞,我们程序同事给处理堵住 解决后,是不是 别人就无法再进入网站 后台 上传、注入文件了?
答:您好,后台漏洞堵住后安全会有提升,另外编辑器还是有很多漏洞,并不需要登录后台就能访问的
比如:
https://www.smdjc.cn/lxlweb/Upload.asp
http://www.smdjc.cn/lxlweb/Example/test1.asp
http://www.smdjc.cn/lxlweb/Example/test2.asp
如果能把编辑器也升级一下,就会安全很多,非常感谢您长期对我司的支持!
问:所有被注入的网站,最后还是跟踪到 upfile_flash.asp (网站里上图图片的文件)文件了, : 这个文件都是通过什么访问的? 通过后台文件的调用访问,还是怎么访问到的?
答:您好,从前面2个网站追踪上看应该是访问的/upimg.asp文件,upfile_flash.asp只是处理上传的文件,非常感谢您长期对我司的支持!
问:哦, upimg.asp是调用 upfile_flash.asp 的;
那问一下: 访问 upimg.asp 这个文件都是通过什么访问的? 通过网站后台文件的调用访问,还是怎么访问到的? 别人怎么知道这个文件的?
答:您好,这种不好追踪,初步怀疑是这套程序成之前已经被人下载破解了,黑客通过源码分析到了后台漏洞,并利用这些漏洞批量扫描您的网站统一篡改,非常感谢您长期对我司的支持!
