[网站注入] 本博客被注入,本想关闭Bo-blog评论及留言部分的地址和邮箱栏。应该是PHP的SQL注入攻击的技术实现注入,后预防措施是打上补丁,修改了bo-blog的密码。

jackxiang 2014-1-14 16:38 | |
背景:是哪个高人,给我sql注入了,我看了下面这篇文章,但没看明白,请在留言里指出,Thanks。
http://blog.csdn.net/phpfenghuo/article/details/18178519
_____________________________________________________________________________
一、我试着想关闭bo-blog里的评论功能(以防止注入):
如何关闭Bo-blog评论及留言部分的地址和邮箱栏

修改当前模板的elements.php文件,推荐用editplus。
1、查找并删除以下两处。
{replieremail}
{replierhomepage}
2、查找到
{$lnc[170]} <input name="v_repurl" id="v_repurl" type="text" size="12" class="text" value="{repurl}" />
{$lnc[248]} {if_neednopsw_end}{additional}<input name="v_repemail" id="v_repemail" type="text" size="12" class="text"  value="{repemail}" />
将其中两处type=”text”改为type=”hidden”,并去掉{$lnc[170]}和{$lnc[248]}{repurl},{repemail},及{if_neednopsw_end}{additiona }。


附:去掉密码栏的方法
修改当前模板的elements.php文件,查找到
{$lnc[133]} <input name="v_password" id="v_password" type="password" size="12" class="text"  value="{ password}" {disable_password}/> {$lnc[247]}
去掉:{$lnc[133]} 和 {$lnc[247]}还有{password},将type=”password”改为type=”hidden”

参考资料:http://www.18hao.net/archives/611
_____________________________________________________________________________
二、但是想了一下,有可能是通过[ubb]注入的,于是先打一下补丁,暂不关评论:
http://www.bo-blog.com/weblog/security--notice-20110312/
2.1.1正式版用户请下载附件中的补丁程序,解压后上传、覆盖原先的文件。打完补丁后,请检查后台页脚的版本号是否为2.1.1.3626.3。

三、修改登录密码:
      后台->用户管理->用户管理->搜索自己的用户名->找到后再修改一下密码混入数字字母大小写符号等即可。


Bo-Blog SQL注入漏洞

Bo-Blog是一套基于PHP和MySQL的免费博客系统软件,该软件包括留言本、表情、天气等。本周,该产品被披露存在一个综合评级为“高危”的SQL注入漏洞。由于程序未能正确过滤用户提交的输入,攻击者利用漏洞可控制应用程序,访问或修改数据。目前,互联网上已经出现了针对该漏洞的攻击代码,厂商尚未发布该漏洞的修补程序。CNVD提醒广大用户随时关注厂商主页以获取最新版本。

参考链接:http://www.cnvd.org.cn/flaw/show/CNVD-2013-12867
               http://www.cnvd.org.cn/webinfo/show/3289

作者:jackxiang@向东博客 专注WEB应用 构架之美 --- 构架之美,在于尽态极妍 | 应用之美,在于药到病除
地址:http://jackxiang.com/post/6950/
版权所有。转载时必须以链接形式注明作者和原始出处及本声明!


最后编辑: jackxiang 编辑于2014-1-19 13:03
评论列表
发表评论

昵称

网址

电邮

打开HTML 打开UBB 打开表情 隐藏 记住我 [登入] [注册]