香港虚拟主机
本站公告
新闻资讯
虚拟主机帮助
域名帮助
服务器帮助
邮箱帮助
建站帮助
网站推广帮助
VPS帮助
特色主机帮助
网站备案专题
会员帮助信息
代理帮助信息
成功案例
保定远鹏电气设备有限公司-b…
什么是百度快照?为什么我网…
网站四个SEO关键时期,新站也…
谁说论坛外链不好做了?六个…
新站短期排名进首页秘密!教…
网站优化的网站描述descript…
学SEO必知的 内链、外链、黑…
什么叫百度无效收录 搜索引擎…
360搜索引擎比百度搜索引擎收…
网站更新是否要有规律 我们也…
您现在的位置: 江南数联 >> 帮助中心 >> 本站公告 >> 正文

建站魔盒重大漏洞更新通知

  作者:admin    来源:本站原创    点击次数:29     更新时间:2014-3-19 9:54:59  
     
 
关注石头有礼
 
 

建站魔盒重大漏洞更新通知

所有使用我司建站魔盒的用户请速联系我司技术帮助修复最新发现的重大漏洞。
漏洞描述:可以通过绕过后台系统进入网站管理后台,并可以通过后台随意修改用户网站。

处理方法:
1.将safe.php传到根目录;

2.在页面中加入防护

在config.inc.php加入代码
require_once('safe.php');

safe.php代理如下:
<?php
//Code By Safe3
//Add HTTP_REFERER by D.
$referer=empty($_SERVER['HTTP_REFERER']) ? array() : array($_SERVER['HTTP_REFERER']);
function customError($errno, $errstr, $errfile, $errline)
{
 echo "<b>Error number:</b> [$errno],error on line $errline in $errfile<br />";
 die();
}
set_error_handler("customError",E_ERROR);
$getfilter="'|\b(alert|confirm|prompt)\b|<[^>]*?>|^\\+\/v(8|9)|\\b(and|or)\\b.+?(>|<|=|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
$postfilter="^\\+\/v(8|9)|\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|<\\s*img\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
$cookiefilter="\\b(and|or)\\b.{1,6}?(=|>|<|\\bin\\b|\\blike\\b)|\\/\\*.+?\\*\\/|<\\s*script\\b|\\bEXEC\\b|UNION.+?SELECT|UPDATE.+?SET|INSERT\\s+INTO.+?VALUES|(SELECT|DELETE).+?FROM|(CREATE|ALTER|DROP|TRUNCATE)\\s+(TABLE|DATABASE)";
function StopAttack($StrFiltKey,$StrFiltValue,$ArrFiltReq){ 

 $StrFiltValue=arr_foreach($StrFiltValue);
 if (preg_match("/".$ArrFiltReq."/is",$StrFiltValue)==1){  
   //slog("<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交参数: ".$StrFiltKey."<br>提交数据: ".$StrFiltValue);
   print "<div style=\"position:fixed;top:0px;width:100%;height:100%;background-color:white;color:green;font-weight:bold;border-bottom:5px solid #999;\"><br>您的提交带有不合法参数,谢谢合作!</div>";
   exit();
 }
 if (preg_match("/".$ArrFiltReq."/is",$StrFiltKey)==1){  
   //slog("<br><br>操作IP: ".$_SERVER["REMOTE_ADDR"]."<br>操作时间: ".strftime("%Y-%m-%d %H:%M:%S")."<br>操作页面:".$_SERVER["PHP_SELF"]."<br>提交方式: ".$_SERVER["REQUEST_METHOD"]."<br>提交参数: ".$StrFiltKey."<br>提交数据: ".$StrFiltValue);
   print "<div style=\"position:fixed;top:0px;width:100%;height:100%;background-color:white;color:green;font-weight:bold;border-bottom:5px solid #999;\"><br>您的提交带有不合法参数,谢谢合作!</div>";
   exit();
 } 

//$ArrPGC=array_merge($_GET,$_POST,$_COOKIE);
foreach($_GET as $key=>$value){
 StopAttack($key,$value,$getfilter);
}
foreach($_POST as $key=>$value){
 StopAttack($key,$value,$postfilter);
}
foreach($_COOKIE as $key=>$value){
 StopAttack($key,$value,$cookiefilter);
}
foreach($referer as $key=>$value){
 StopAttack($key,$value,$getfilter);
}

function slog($logs)
{
 $toppath=$_SERVER["DOCUMENT_ROOT"]."/log.htm";
 $Ts=fopen($toppath,"a+");
 fputs($Ts,$logs."\r\n");
 fclose($Ts);
}
function arr_foreach($arr) {
 static $str;
 if (!is_array($arr)) {
 return $arr;
 }
 foreach ($arr as $key => $val ) {

 if (is_array($val)) {

  arr_foreach($val);
 } else {

   $str[] = $val;
 }
 }
 return implode($str);
}
?>

把以上代码保存为safe.php

 

本章关健词:江南数联 域名注册 海外虚拟主机 G享虚拟主机 国内虚拟主机 企业邮箱 网站建设 自助建站 400电话申请 微聚商

 
  版权申请:建站魔盒重大漏洞更新通知出自江南数联dns06.com未经授权请勿转载!  
 
  • 上一篇帮助:

  • 下一篇帮助:
  •  
         

    扫一扫关注公众号有礼
    Copyright@2004-2015 江南数联 版权所有未经授权请勿复制!
    《中华人民共和国增值电信业务经营许可证》ISP证编号:皖B2-20080036 湘B2-20160056
    公司全称:永州石头网络技术有限公司(运营部)
    地址: 中国·湖南省永州市育才路158号 服务热线:400 616 9260
    安徽公司:安徽仁科信息技术有限公司 地址:合肥万和新城广场A-608 
    关注词:网站空间虚拟空间空间域名域名空间域名主机网站空间哪家好网站空间多少钱