文章作者:Slyar 文章来源:Slyar Home (www.slyar.com) 转载请注明,谢谢合作。
今天一搞安全的哥们给我发来一条URL链接,是一个txt文件。我心说txt文件应该不会有啥问题吧,于是乎我就点了,结果也确实没啥问题,因为俺用的是Firefox浏览器,不过那个txt文件的内容却让我产生了一丝疑问...
我照着那个txt文件的格式重点自己写了一段代码:
<script></script>
<iframe src=http://www.slyar.com width=350 height=200 border=0></iframe>
将其命名为lovejoan.txt上传到自己的空间,然后用IE打开,结果...

乖乖,IE真的把这个txt文件当成html来解析了,这么说来即便是txt文件也可以挂马了?!如果把iframe的大小改成0,谁会去注意一个txt文档是不是危险啊...
后来发现问题所在,只要txt文档里含有"<script>",IE就会将其当做html文件来解释执行...垃圾IE,还好我用Firefox...
文章作者:Slyar 文章来源:Slyar Home (www.slyar.com) 转载请注明,谢谢合作。
唔,这个问题我发现好久了,当时以为只是我自己的问题,就没管,可是今天在别人的电脑上也出现这个问题,我就不得不怀疑这是一个BUG了。
问题出现在使用FireFox3在论坛发帖的时候。如图,Discuz提供两种编辑模式:"Discuz!代码模式"和"所见即所得模式"

我们先在"所见即所得模式"编辑一句话,光标还在;这时选择"Discuz!代码模式";然后再次选择"所见即所得模式",此时就会发现光标丢失,无法编辑文章了。去掉所有的插件也还是存在问题,证明不是插件问题,FireFox2无此问题。
大家自己试下。
PS.刚才找午夜测试了一下,也有同样问题。
文章作者:Slyar 文章来源:Slyar Home (www.slyar.com) 转载请注明,谢谢合作。
无意中发现的,原来百度也会犯这种小错误啊。
居然允许列目录。。。


文章作者:Slyar 文章来源:Slyar Home (www.slyar.com) 转载请注明,谢谢合作。
哎,刚拿上WordPress玩的时候就发现wp-settings.php能暴物理路径,当时觉得是个很严重的问题,于是赶紧用"@"把错误信息给屏蔽了,可是最近发现WordPress好像特别喜欢暴路径,看几个图先。。。
都是"Fatal error: Call to undefined function"




看到了?很多文件都可以轻松地把路径暴出来,Linux主机还好点,至少现在那些脚本小子和工具小子还停留在WIN水平,打不到我们这,可是这个WIN主机。。。当然了,WordPress还不至于这么脆弱,可是难保空间里没有其他有漏洞的东西呀。。。
防范方法也简单,当然这个不是"@"能解决的了,只要在能暴路径的文件头部加入访问验证代码就OK了!
访问验证代码如下:
<?php
if(!defined('WP_USE_THEMES'))
{
exit('Access Denied By Slyar.com');
}
?>
最新评论