• 欢迎访问金刀客博客!
  • 2019,春节快乐!

加强pjblog中wbc防盗链插件目录的安全性

原创天空 admin 5506次浏览 已收录 0个评论

pjblog是我们国产asp博客程序中的佼佼者,收到广大网友的喜爱,也包括我这个网虫。很多博友为了防止自己辛辛苦苦写出来的程序和图片被别人盗链,没有流量还无所谓倒把服务器到拖得气喘吁吁。于是防盗链插件便应运而生。wbc防盗链插件是pjblog中应用较多的一个插件,比较成功,它建立数据库每天变换它建立的文件夹的目录名,这样即使你获得了地址,过一天也就失效了,它不仅仅是地址的加密。他建立单独的文件夹和数据库结合md5来达到防盗链的目的.这样便造成一个问题,他建立的文件夹的安全性是否可靠??
我们做这样一个架设,一天某人拿到了你的博客管理员权限,同时他握有FCKeditor的一个oday,那么此时他就有机会上传webshell,搞定我们的博客。一般而言,我们会给予我们的上传目录“无”的执行权限,使之没有运行脚本的权限,但是如果你安装了wbc防盗链插件,那么你可以查看一下,他的目录权限是什么。
iis有这么一个习性,如果它的上级目录有”纯脚本“权限,那么你在这个目录下建立文件夹的时候他会给予同样的权限。而我们的pjblog根目录是必须给予脚本权限的,一大堆asp需要运行呢,我们的wbc插件处于同一个目录,也就是说我们的这个插件建立的目录具有脚本权限,即使你现在修改为没有脚本权限,但是只要它重命名,马上就具有脚本权限了。
哈哈,本人琢磨了一下,这个问题可以这样解决,同样利用iis的这个继承的习性。我们在根目录下建立一个固定的目录,去掉脚本权限,然后把防盗链插件建立的目录放到此目录下,那么问题不是就解决了??
马上着手,很简单。我们在根目录下建立一个目录antilink目录,去掉脚本权限,然后把wbc防盗链插件目录放进来,然后修改插件源代码。需要修改这3个文件。
wbc_showimg.asp:
Path=Application(“folderName”)&”/”
改为
Path=”antilink/”&Application(“folderName”)&”/”
Plugins\WBC_GAT\Config.asp:
if FSO.FolderExists(server.MapPath(“../../antilink/”&request.Form(“OName”))) then
if not FSO.FolderExists(server.MapPath(“../../antilink/”&N_Name)) then
Set fld = FSO.GetFolder(server.MapPath(“../../antilink/”&request.Form(“OName”)))
FSO.CreateFolder server.MapPath(“../../antilink/”&request.Form(“OName”))
Plugins\WBC_GAT\wbc_conn.asp:
folderName=”antilink/”&Application(“folderName”)
这样我们的安全目录就搞定了。下次说说这个插件怎么和主动防御软件的文件监控结合起来,让博客更安全。
上图


金刀客博客 , 版权所有丨如未注明 , 均为原创丨本网站采用BY-NC-SA协议进行授权 , 转载请注明加强pjblog中wbc防盗链插件目录的安全性
喜欢 (3)
发表我的评论
取消评论

表情 贴图 加粗 删除线 居中 斜体 签到