技术宅社区 | Z站»家 › 工作组 › 技术部 › 网站漏洞

查看: 829|回复: 10

[已解决] 网站漏洞

[复制链接]

a949916388

签到天数: 1 天

连续签到: 1 天

[LV.1]初来乍到

17 主题	27 好友	7046 积分

序章

积分: 7046

发表于 2012-10-20 18:51:37 | 显示全部楼层 |阅读模式

建议意见
报告人UID:	117630
问题优先级:	中级
详细描述:	漏洞描述服务器启动了DELETE方法。漏洞影响恶意用户可能删除服务器上的文件。解决建议如果不必须的话可以禁用DELETE方法。漏洞描述许多网站和企业使用robots.txt文件来设置某些文件不允许蜘蛛索引，但却没有想到却将这些秘密的文件告诉了他们的竞争者。因为人们在创建robots.txt文件的时候只是想如果蜘蛛不能索引他们，那么人们也就不能搜索到它们。但是当你将这些文件包含在robots.txt文件中的时候，你已经在告诉真实的人们这些文件在哪里。同样让人惊讶的是，大多数这些“秘密的”文件都没有采取保护措施，竞争者们不需要任何权限和密码就可以轻松的获得它们。漏洞影响有可能泄露系统中的敏感信息，如后台地址或者不愿意对外公开的地址等等。解决建议确保robots.txt中不包含敏感信息，建议将不希望对外公布的目录用一些特殊字符包含起来而不是放到robots.txt文件中。如admin目录可以命名为__admin__，这样就能保证攻击者无法获取目录了漏洞描述发现存在了一个可能的敏感目录。该目录并非是一个直接在Web页面中的链接。备份目录, 数据库备份, 管理页面, 临时目录等. 漏洞影响攻击者可能利用这些信息进行下一步攻击。解决建议限制对该目录的访问或者删除该目录。
联系QQ:	*对不起，您无权查看相应信息*
联系E-Mail:	*对不起，您无权查看相应信息*

╱人◕‿‿◕人╲定下契约

您需要登录才可以下载或查看，没有账号？╱人◕‿‿◕人╲订下契约（注册新用户）

还有有咩有奖励啊？木有就恨死你们

评分

参与人数 1	宅币 +50	收起理由
熊猫拯救世界	+ 50	o(￣▽￣)ブ发糖孩纸辛苦了

查看全部评分

签名被小宅喵吞掉了~~~~(>_<)~~~~

使用道具举报

ぃ野花のAriosモ

该用户从未签到

388 主题	2042 好友	10万积分

懒人

积分: 104579

发表于 2012-10-20 19:22:47 | 显示全部楼层

虽然不知道是什么，但是感觉很厉害的样子

签名被小宅喵吞掉了~~~~(>_<)~~~~

回复支持反对

使用道具举报

cracky

签到天数: 1 天

连续签到: 1 天

[LV.1]初来乍到

3 主题	11 好友	5472 积分

序章

积分: 5472

发表于 2012-10-21 03:49:35 | 显示全部楼层

好厉害的样子+1

签名被小宅喵吞掉了~~~~(>_<)~~~~

回复支持反对

使用道具举报

阿0

签到天数: 4 天

连续签到: 1 天

[LV.2]偶尔看看I

228 主题	128 好友	6万积分

第三章

峨眉山大壮士

积分: 68309

发表于 2012-10-21 10:31:25 | 显示全部楼层

不明觉厉＋2

飞鸿几许归雁在何？

回复支持反对

使用道具举报

忘川卒

该用户从未签到

18 主题	54 好友	1万积分

第一章

积分: 10247

发表于 2012-10-21 12:52:53 | 显示全部楼层

不明觉厉 +#

签名被小宅喵吞掉了~~~~(>_<)~~~~

回复支持反对

使用道具举报

我不帅

该用户从未签到

484 主题	158 好友	9万积分

第五章

认真不会输！

积分: 97540

发表于 2012-10-21 16:04:21 | 显示全部楼层

感觉好厉害0.0
又是一个大触【我去找OOXX研究院的人去了

想要500宅币么？点这里就可以点这里也可以

回复支持反对

使用道具举报

Nate

该用户从未签到

746 主题	732 好友	10万积分

吃货

积分: 100198

发表于 2012-10-21 16:11:08 | 显示全部楼层

@Nekor @石头肉丸子 @SilverBullet @hcl

这个我不懂你们来看下吧~

签名被小宅喵吞掉了~~~~(>_<)~~~~

回复支持反对

使用道具举报

ぃ野花のAriosモ

该用户从未签到

388 主题	2042 好友	10万积分

懒人

积分: 104579

发表于 2012-10-21 16:30:28 | 显示全部楼层

@氺菓

签名被小宅喵吞掉了~~~~(>_<)~~~~

回复支持反对

使用道具举报

SilverBullet

签到天数: 1 天

连续签到: 1 天

[LV.1]初来乍到

28 主题	28 好友	1万积分

第一章

积分: 17113

发表于 2012-10-21 16:48:05 | 显示全部楼层

discuz设计的时候考虑到了这点，你直接访问example.com/config实际上访问的是example.com/config/index.php，然后index.php是个空文件，所以你没法看到目录结构（实际如果是熟悉架构的黑客的话直接就去找漏洞了……），而robots.txt的主要作用还是防止搜索引擎误搜索到一些敏感文件，这个文件是否留存还要考虑下
至于delete方法么，我还真没注意到……等到下周再看吧……………………

点评

hcl

你包括像一些大的网站实际上也都是保留着robots.txt的发表于 2012-10-21 16:59

签名被小宅喵吞掉了~~~~(>_<)~~~~

回复支持反对

使用道具举报

hcl

该用户从未签到

397 主题	61 好友	11万积分

荣誉会员

地下研究所所长

积分: 115586

发表于 2012-10-21 16:52:49 | 显示全部楼层

robots.txt主要作用就是防止搜索引擎抓取一些网站主不希望看到的目录和页面，你说到的这个问题实际上并不会有太大的影响，因为Discuz本身程序的架构已经确定了，如果再修改目录名称将是一个浩大的工程。况且服务器还有目录的权限设置，Nginx的配置，以及Discuz本身的一些防止措施。实际上是不会有什么问题的。

至于DELETE Method和目录的问题我去查一下。

技术区

回复支持反对

使用道具举报