paladinet 發(fā)表于 2020-3-18 19:52
網(wǎng)上說用include就可以讓圖片中的php代碼運行。

那你得有權(quán)限改php代碼去include圖片，如果有權(quán)限改php代碼，那干嘛不直接執(zhí)行后門

dashen 發(fā)表于 2020-3-13 15:27
除非你服務(wù)器配置有問題，允許圖片被當做php執(zhí)行，否則不會有問題

網(wǎng)上說用include就可以讓圖片中的php代碼運行。

這種適合，解析漏洞， 包含漏洞。

沒有辦法禁止上傳圖片木馬，因為需要上傳圖片功能

但是，不論是插件中的文件數(shù)據(jù)儲存目錄還是dz系統(tǒng)的data目錄以及uc中的頭像上傳目錄等，不論是在linux還是win系統(tǒng)中，都可以使用禁止腳本權(quán)限來限制該目錄執(zhí)行腳本文件權(quán)限，把上傳目錄當作靜態(tài)文件輸出目錄即可，只允許讀取就可以完美解決問題了，從源頭上不給圖片木馬的提權(quán)機會。

一般是掛馬用的

除非你服務(wù)器配置有問題，允許圖片被當做php執(zhí)行，否則不會有問題

Killer 發(fā)表于 2020-3-13 10:15
首先，沒多少插件是加密的，且應(yīng)用中心審核時是看的源代碼，不會有掛馬行為的，請不必考慮這部分。

插件 ...

1314的插件都是加密的。還有keke的！

關(guān)閉解析權(quán)限即可 吧DATA 相應(yīng)的附件  拒絕執(zhí)行的權(quán)限

此類圖片是通過什么渠道上傳的？論壇附件？頭像？

另外服務(wù)器正常做好安全配置的話，此類代碼不會被執(zhí)行，請知悉。