久久久久av_欧美日韩一区二区在线_国产精品三区四区_日韩中字在线

Discuz! 官方交流社區(qū)

標(biāo)題: 含代碼的圖片，也被掃出來了。 [打印本頁]

作者: paladinet 時間: 2020-3-12 17:44
標(biāo)題: 含代碼的圖片，也被掃出來了。
本帖最后由 paladinet 于 2020-3-12 17:46 編輯

(, 下載次數(shù): 60)
左邊是原圖，右邊是用二進(jìn)制文本編輯器打開圖片看到的內(nèi)容，明顯有腳本代碼。

(, 下載次數(shù): 65)
這是含腳本代碼的圖片，官方的似乎也能上傳。

請教各位大神：

看截圖這個圖片里被壞人放進(jìn)去代碼了，如果才能讓上傳的文件自動去掉這些代碼，或干脆不讓上傳！

另外就是已經(jīng)上傳的過的，如果才能讓這些文件不會被執(zhí)行？

還有就是這個代碼想做什么呢？

原圖在壓縮文件中。

作者: Killer 時間: 2020-3-13 00:38
服務(wù)器圖片文件夾設(shè)置好權(quán)限不允許執(zhí)行就可以了

作者: paladinet 時間: 2020-3-13 08:22

Killer 發(fā)表于 2020-3-13 00:38
服務(wù)器圖片文件夾設(shè)置好權(quán)限不允許執(zhí)行就可以了

設(shè)置了，也不行，插件目錄呢？現(xiàn)在好多的插件都是加密的。

作者: Killer 時間: 2020-3-13 10:15

paladinet 發(fā)表于 2020-3-13 08:22
設(shè)置了，也不行，插件目錄呢？現(xiàn)在好多的插件都是加密的。

首先，沒多少插件是加密的，且應(yīng)用中心審核時是看的源代碼，不會有掛馬行為的，請不必考慮這部分。

插件目錄一般不存上傳的圖片，即便要存，也可以單獨設(shè)置存圖片的目錄的權(quán)限，和加密與否根本也是無關(guān)的

作者: 老周部落 時間: 2020-3-13 11:31
此類圖片是通過什么渠道上傳的？論壇附件？頭像？

另外服務(wù)器正常做好安全配置的話，此類代碼不會被執(zhí)行，請知悉。

作者: 耗子 時間: 2020-3-13 12:04
關(guān)閉解析權(quán)限即可吧DATA 相應(yīng)的附件拒絕執(zhí)行的權(quán)限

作者: paladinet 時間: 2020-3-13 15:11

Killer 發(fā)表于 2020-3-13 10:15
首先，沒多少插件是加密的，且應(yīng)用中心審核時是看的源代碼，不會有掛馬行為的，請不必考慮這部分。

插件 ...

1314的插件都是加密的。還有keke的！

作者: dashen 時間: 2020-3-13 15:27
除非你服務(wù)器配置有問題，允許圖片被當(dāng)做php執(zhí)行，否則不會有問題

作者: crx349 時間: 2020-3-13 17:12
一般是掛馬用的

作者: hhb121 時間: 2020-3-13 21:14
沒有辦法禁止上傳圖片木馬，因為需要上傳圖片功能

但是，不論是插件中的文件數(shù)據(jù)儲存目錄還是dz系統(tǒng)的data目錄以及uc中的頭像上傳目錄等，不論是在linux還是win系統(tǒng)中，都可以使用禁止腳本權(quán)限來限制該目錄執(zhí)行腳本文件權(quán)限，把上傳目錄當(dāng)作靜態(tài)文件輸出目錄即可，只允許讀取就可以完美解決問題了，從源頭上不給圖片木馬的提權(quán)機(jī)會。

作者: Failure 時間: 2020-3-13 21:56
這種適合，解析漏洞，包含漏洞。

作者: paladinet 時間: 2020-3-18 19:52

dashen 發(fā)表于 2020-3-13 15:27
除非你服務(wù)器配置有問題，允許圖片被當(dāng)做php執(zhí)行，否則不會有問題

網(wǎng)上說用include就可以讓圖片中的php代碼運行。

作者: dashen 時間: 2020-3-22 17:17

paladinet 發(fā)表于 2020-3-18 19:52
網(wǎng)上說用include就可以讓圖片中的php代碼運行。

那你得有權(quán)限改php代碼去include圖片，如果有權(quán)限改php代碼，那干嘛不直接執(zhí)行后門

歡迎光臨 Discuz! 官方交流社區(qū) (http://www.9999xn.com/)

久久久久av_欧美日韩一区二区在线_国产精品三区四区_日韩中字在线