[技术交流] 回复阿里关于帝国备份王所谓的“代码注入” [复制链接]
查看:5034 | 回复:29

wm_chief · 发表于 2016-6-27 09:57:09

【回复阿里关于帝国备份王所谓的“代码注入”】阿里所说的前提是：必须能登录帝国备份王后台，然后使用“替换目录文件”功能来替换备份文件。而安装后修改默认的密码和验证随机码(5.0版采用强制修改，不改默认密码不让设置)，后台就很难出安全问题，除非服务器被入侵，配置文件里的内容泄漏才有可能。

gcstu · 发表于 2016-6-27 10:15:01

很多漏洞的缘由都是：懒！

wm_chief · 发表于 2016-6-27 10:28:41

gcstu 发表于 2016-6-27 10:15
很多漏洞的缘由都是：懒！

帝国备份王是上传后直接就能使用，所以只能让用户登录后台后修改密码等相关内容。
不像需要安装的程序，完全可以在安装时由程序生成相关随机内容。

为了防止用户使用默认的密码，所以刚发布的新版帝国备份王5.0就采用了强制修改默认密码和验证随机码，让“勤快一点”，就能保障安全。

wm_chief · 发表于 2016-6-27 10:31:29

刚看到版主加色，谢谢版主

wm_chief · 发表于 2016-6-27 10:36:08

0318dj 发表于 2016-6-27 10:32
其实更改了默认的目录修改了密码没事吧

修改默认的密码和默认验证随机码，这两个修改后就可以保障帝国备份王后台安全。
至于程序上传的目录隐蔽点当然更好了

低语者 · 发表于 2016-6-27 10:37:32

@wm_chief
之前遇到个问题，网站的图片上传目录多了个newfile.php文件，查看日志是这样的
14.215.165.4 - - [23/May/2016:13:52:47 +0800] "GET /bak/bdata/information_schema_20160523135031/config.php?eanver=editr&p=%2Fwww%2Fwww_XXX_com%2Fattachment&refile=1&name=newfile.php HTTP/1.1" 200 1799
bak为帝国备份，是我的密码被破了，然后被上传的这个newfile.php文件吗？

wm_chief · 发表于 2016-6-27 10:38:39

如果使用新版帝国备份王5.0，你不修改默认密码和默认验证随机码，都不能使用备份和恢复，强制修改的

飘鸣 · 发表于 2016-6-27 10:39:35

万万没想到懒人居然那么多

RJP · 发表于 2016-6-27 10:40:55

神器，可惜现在不做站了

低语者 · 发表于 2016-6-27 10:41:55

wm_chief 发表于 2016-6-27 10:38
如果使用新版帝国备份王5.0，你不修改默认密码和默认验证随机码，都不能使用备份和恢复，强制修改的

之前遇到个问题，网站的图片上传目录多了个newfile.php文件，查看日志是这样的
14.215.165.4 - - [23/May/2016:13:52:47 +0800] "GET /bak/bdata/information_schema_20160523135031/config.php?eanver=editr&p=%2Fwww%2Fwww_XXX_com%2Fattachment&refile=1&name=newfile.php HTTP/1.1" 200 1799
bak为帝国备份，是我的密码被破了，然后被上传的这个newfile.php文件吗？

百独托管7500 紫田网络	超高转化播放器收cps[推荐]	速盾CDN 免实名免备防屏蔽	阿里云爆款特卖9.9元封顶	提升alexa、IP流量7Q5团队
【腾讯云】中小企福利专场	【腾讯云】多款产品1折起	高防随时退换好耶数据	小飞国外网赚带你月入万元	炎黄网络4H4G10M 99每月
香港带宽CN2/美国站群优惠	中客数据中心服务器租用	联盟系统移动广告平台中易	企业专场腾讯云服务器2.5折	九九数据工信部正规资质
腾讯云新用户大礼包代金券	高价收cpa注册量高价展示	【腾讯云】2核2G/9.93起	租服务器找45互联随时退换	阿里云短信服务验证秒达

[技术交流] 回复阿里关于帝国备份王所谓的“代码注入” [复制链接]
查看:5034 | 回复:29

落伍PHP

落伍手机绑定

[技术交流] 回复阿里关于帝国备份王所谓的“代码注入” [复制链接] 查看:5034 | 回复:29

落伍PHP

落伍手机绑定

[技术交流] 回复阿里关于帝国备份王所谓的“代码注入” [复制链接]
查看:5034 | 回复:29