97久久国产亚洲精品超碰热,成人又色又爽的免费网站,色偷偷女人的天堂a,男女高潮喷水在线观看,国内精品一线二线三线区别在哪里

Discuz! 官方交流社區(qū)

標(biāo)題: 含代碼的圖片，也被掃出來(lái)了。 [打印本頁(yè)]

作者: paladinet 時(shí)間: 2020-3-12 17:44
標(biāo)題: 含代碼的圖片，也被掃出來(lái)了。
本帖最后由 paladinet 于 2020-3-12 17:46 編輯

(, 下載次數(shù): 48)
左邊是原圖，右邊是用二進(jìn)制文本編輯器打開(kāi)圖片看到的內(nèi)容，明顯有腳本代碼。

(, 下載次數(shù): 56)
這是含腳本代碼的圖片，官方的似乎也能上傳。

請(qǐng)教各位大神：

看截圖這個(gè)圖片里被壞人放進(jìn)去代碼了，如果才能讓上傳的文件自動(dòng)去掉這些代碼，或干脆不讓上傳！

另外就是已經(jīng)上傳的過(guò)的，如果才能讓這些文件不會(huì)被執(zhí)行？

還有就是這個(gè)代碼想做什么呢？

原圖在壓縮文件中。

作者: Killer 時(shí)間: 2020-3-13 00:38
服務(wù)器圖片文件夾設(shè)置好權(quán)限不允許執(zhí)行就可以了

作者: paladinet 時(shí)間: 2020-3-13 08:22

Killer 發(fā)表于 2020-3-13 00:38
服務(wù)器圖片文件夾設(shè)置好權(quán)限不允許執(zhí)行就可以了

設(shè)置了，也不行，插件目錄呢？現(xiàn)在好多的插件都是加密的。

作者: Killer 時(shí)間: 2020-3-13 10:15

paladinet 發(fā)表于 2020-3-13 08:22
設(shè)置了，也不行，插件目錄呢？現(xiàn)在好多的插件都是加密的。

首先，沒(méi)多少插件是加密的，且應(yīng)用中心審核時(shí)是看的源代碼，不會(huì)有掛馬行為的，請(qǐng)不必考慮這部分。

插件目錄一般不存上傳的圖片，即便要存，也可以單獨(dú)設(shè)置存圖片的目錄的權(quán)限，和加密與否根本也是無(wú)關(guān)的

作者: 老周部落 時(shí)間: 2020-3-13 11:31
此類圖片是通過(guò)什么渠道上傳的？論壇附件？頭像？

另外服務(wù)器正常做好安全配置的話，此類代碼不會(huì)被執(zhí)行，請(qǐng)知悉。

作者: 耗子 時(shí)間: 2020-3-13 12:04
關(guān)閉解析權(quán)限即可吧DATA 相應(yīng)的附件拒絕執(zhí)行的權(quán)限

作者: paladinet 時(shí)間: 2020-3-13 15:11

Killer 發(fā)表于 2020-3-13 10:15
首先，沒(méi)多少插件是加密的，且應(yīng)用中心審核時(shí)是看的源代碼，不會(huì)有掛馬行為的，請(qǐng)不必考慮這部分。

插件 ...

1314的插件都是加密的。還有keke的！

作者: dashen 時(shí)間: 2020-3-13 15:27
除非你服務(wù)器配置有問(wèn)題，允許圖片被當(dāng)做php執(zhí)行，否則不會(huì)有問(wèn)題

作者: crx349 時(shí)間: 2020-3-13 17:12
一般是掛馬用的

作者: hhb121 時(shí)間: 2020-3-13 21:14
沒(méi)有辦法禁止上傳圖片木馬，因?yàn)樾枰蟼鲌D片功能

但是，不論是插件中的文件數(shù)據(jù)儲(chǔ)存目錄還是dz系統(tǒng)的data目錄以及uc中的頭像上傳目錄等，不論是在linux還是win系統(tǒng)中，都可以使用禁止腳本權(quán)限來(lái)限制該目錄執(zhí)行腳本文件權(quán)限，把上傳目錄當(dāng)作靜態(tài)文件輸出目錄即可，只允許讀取就可以完美解決問(wèn)題了，從源頭上不給圖片木馬的提權(quán)機(jī)會(huì)。

作者: Failure 時(shí)間: 2020-3-13 21:56
這種適合，解析漏洞，包含漏洞。

作者: paladinet 時(shí)間: 2020-3-18 19:52

dashen 發(fā)表于 2020-3-13 15:27
除非你服務(wù)器配置有問(wèn)題，允許圖片被當(dāng)做php執(zhí)行，否則不會(huì)有問(wèn)題

網(wǎng)上說(shuō)用include就可以讓圖片中的php代碼運(yùn)行。

作者: dashen 時(shí)間: 2020-3-22 17:17

paladinet 發(fā)表于 2020-3-18 19:52
網(wǎng)上說(shuō)用include就可以讓圖片中的php代碼運(yùn)行。

那你得有權(quán)限改php代碼去include圖片，如果有權(quán)限改php代碼，那干嘛不直接執(zhí)行后門

歡迎光臨 Discuz! 官方交流社區(qū) (http://r615.cn/)