官方首页 | 无图版 | BBS首页
PJBlog3 2.8.5.157 新版发布 下载|升级(2008.8.26) 来给PJ3提提发展建议 2008版 PJHOME 珍藏/纪念版官方T恤 正式发布! PJ3内测团队主创人员身份,性格,特点吐血大曝光
PJBlog技术支持论坛使用问题总索引 PJ-Blog 3 斑竹日志 【独家】我使用过的三种空间,与客服的精彩故事 Z-Blog,Wordpress,Bo-Blog转换到PJBlog
‹‹ 上一主题 | 下一主题 ››
发新话题
打印

[远景规划] 对于“在线代码编辑器 beta”存在一些安全隐患

hailang

PJFORUM老会员

Rank: 8Rank: 8

UID
31911 
帖子
37 
精华
0 
积分
737 
PJ币
68 元 
专长
 
在线时间
70 小时 
注册时间
2007-1-30 
1# 发表于 2008-7-15 00:48 只看该作者

对于“在线代码编辑器 beta”存在一些安全隐患

刚刚拿到最新的版本,发现“在线代码编辑器 beta"用了一下,感觉还不错。
不过同样也发现了一些安全隐患,在 编辑一些ASP页面的时候可以 任意插入 ASP代码,而且能在外浏览到(我插入的是<% =now %>)。
我感觉这个很不安全,入侵者知道了后台的密码,可以通过这个向服务器的一些ASP文件中写入一句话木马,导致服务器提权。

[ 本帖最后由 hailang 于 2008-7-15 00:50 编辑 ]
海浪在线Http://www.hackfans.net

TOP

Rison

羽白

{PJFORUM版主}

Rank: 32Rank: 32

『插件区 斑竹』

UID
27015 
帖子
892 
精华
4 
积分
13632 
PJ币
5160 元 
专长
 
在线时间
1270 小时 
注册时间
2006-12-27 
2# 发表于 2008-7-15 01:49 只看该作者
入侵者只要知道了后台密码,不用在线编辑器也能搞掉服务器的!就看你的密码是否安全了!
偶的站:SnailStory蜗牛居の故事

在插件区发帖请注明你的发帖类别
求助帖请在发帖前看看置顶帖和搜索一下论坛
并尽量截图详细说明你出现的问题

TOP

hailang

PJFORUM老会员

Rank: 8Rank: 8

UID
31911 
帖子
37 
精华
0 
积分
737 
PJ币
68 元 
专长
 
在线时间
70 小时 
注册时间
2007-1-30 
3# 发表于 2008-7-15 09:09 只看该作者
建议后台可以使用独立的密码.
海浪在线Http://www.hackfans.net

TOP

无心

【静心阁---阁主】

【PJFORUM超级版主】

Rank: 48Rank: 48Rank: 48

【PJ基本使用专区·总版主】

UID
53671 
帖子
1606 
精华
3 
积分
23246 
PJ币
4797 元 
专长
其实我是卧底 
在线时间
2161 小时 
注册时间
2007-12-22 
4# 发表于 2008-7-15 14:05 只看该作者
最好的方法就是小心保护你的密码,设置负载密码,只有你自己知道的,如果入侵者能搞到你的前台密码,说不准,他也能搞到你后台密码
静心阁
美摔de天空 |  五星剧场 |  美食博客

TOP

huhaisen

海神

{PJFORUM版主}

Rank: 32Rank: 32

基本使用区版主

UID
45816 
帖子
1323 
精华
9 
积分
16504 
PJ币
20335 元 
专长
用三叉戟打渔 
在线时间
1509 小时 
注册时间
2007-7-1 
5# 发表于 2008-7-15 14:26 只看该作者
是啊,如果搞到前台密码,有FCK编辑器在那呢,随便什么HTML代码都能写入,而且也可以任意上传任何文件,肯定就能得到所谓的后台密码甚至直接提权。
所以咱们就得考虑前台的密码要一定安全,如果疏漏,嘿嘿……
PJblog3资源站 pjblog3.com.cn | 特特宝贝
PJblog3交流群:72540254(开启)

TOP

zsyl

Diamondtear

PJFORUM老会员

Rank: 8Rank: 8

UID
50967 
帖子
126 
精华
0 
积分
606 
PJ币
293 元 
专长
 
在线时间
48 小时 
注册时间
2007-11-16 
6# 发表于 2008-7-15 15:52 只看该作者
密码安全 我提供一个方法 http://zsyl.net/blog/article/1.htm

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题