kn007的个人博客
♥ You are here: Home > 软件与网络 > php > 修复了几个漏洞

修复了几个漏洞

by | 46 Comments

提醒:本文最后更新于 4954 天前,文中所描述的信息可能已发生改变,请仔细核实。

QQ截图20121222220334前不久有在baidu那测试过网站安全,有那么几个漏洞,我也不是很在意,毕竟都是可以理解的,个人认为其实也不算漏洞,或者说这漏洞没人看到,看到了,也不一定有人利用。。。

正巧呢,最近貌似提倡所谓的网站安全,又看到了baidu的来信,觉得是该搞搞,用了百度和360检测了一下,发现360貌似更严格一点(流氓果然在这种小东西专业点,这算是表扬吧)。

看下百度检测的结果:

baidu-scan

再来看看360的:

360-scan

百度(忘记截图了,百度提示的漏洞只有一个,是下图的第一个)和360的漏洞结果:

loudoujieguo

其实都无伤大雅,貌似第一个确实是一个有点麻烦的漏洞,确实比较高危,可以注入sql或者js达到一些非法目的;第二个呢,就比较简单了,其实就是一跳转,只是没有验证安全性合法性就跳转了。

第一个的解决办法,对input框架进行了值检测,确定是否符合规定(因为是查ip的,所以只允许URL和IP查询),其次,对POST过来的数据,做来源检测,判断字符合理性,达到合法目的,其实这个漏洞虽然最后检测不到了,但是我认为呢,还是有漏洞,所以恕我不能将详细解决方法放上来,不然达不到目的,也就是说还有点后门,毕竟不是专业的,而且我也没花时间搞。地址:https://kn007.net/ip.php,欢迎测试,谢谢。

第二个,就简单了,直接判断来源和归属,非正常渠道生成的地址无法访问。(以前旧的访问地址仍然有效,不过必须来源正确)。测试地址:https://kn007.net/func/go.php

最后呢,附上检测结果,百度的:

baidu-final
QQ图片20121222203402

360的:

QQ截图20121223014215
360-final
QQ图片20121222213402

好吧,幽默的360。。貌似流氓更用户体验一点。。。说实话,不大用360产品。。。

OK,搞定,貌似没啥问题鸟。。。

转载请注明转自: kn007的个人博客 的《修复了几个漏洞

donate
有所帮助?
Comments
46 Comments立即评论
  1. LV3
    回复

    我是第一个占沙发的淫。。 :lol:

    1. MOD
      回复

      @瓜瓜: :roll: 哇! :mrgreen:

  2. LV3
    回复

    大半夜你不睡觉,你弄什么安全啊。。

    把网站放洗衣机里洗洗。。用汰渍什么都干净了。无毒无公害

    1. MOD
      回复

      @小满子: :o 好吧,坑爹~ :???:

  3. LV4
    回复

    总算看到一篇文章了。。。赞一下~~继续保持。。。。

    1. MOD
      回复

      @Sam: 被称赞了,不容易啊 :lol:

  4. 回复

    :o 360站长工具我没用过,但是360产品给我最深的印象就是:日哟!我昨天晚上手机上装了一个360安全卫士,半夜1点手机开机,关电脑睡觉的时候,手机电量是100%的,早上8点半起床,手机电量只剩下5%了,吃死电了,我平时手机待机1天半的,现在只剩下七八个小时了!果断卸载!

    1. MOD
      回复

      @小明夜: 很少用他们的产品 :lol:

  5. LV1
    回复

    呵呵,安全性很重要啊.
    不过一些代码已经做好了,不需要做多改动了.

    1. MOD
      回复

      @an9: 不喜欢嵌入所谓的360安全代码。。我自己写的源码,我自己心理清楚怎么规避,所以不用借住外力

  6. LV2
    回复

    好久都没测试过网站安全了……

    1. MOD
      回复

      @蚊哥's Blog: :mrgreen: 我也是闲的蛋疼。。 :arrow:

  7. LV5
    回复

    真是爱折腾,这都关注了,我觉得小满子的方法也不错

    1. MOD
      回复

      @Nemo: 瞎折腾

  8. LV1
    回复

    那哪里检测,我也测一测我的博客。

    1. MOD
      回复

      @天添MM: 图片有地址。一个是百度站长,一个是360网站安全 :razz:

    2. LV1
      回复

      @kn007: 好吧,我去点大图片看看 :???:

    3. MOD
      回复
  9. LV5
    回复

    话说我的是100分。折腾吧你就,非要哪天给你折腾的漏洞多的女娲都给你补不了。

    1. MOD
      回复

      @老猫Music: :o 去...

  10. LV6
    回复

    一直没管这玩意~~就这么过着~~毕竟漏洞是漏不完的~

    1. MOD
      回复

      @小T: 反正能补就补

;-):|:x:twisted::smile::shock::sad::roll::razz::oops::o:mrgreen::lol::idea::grin::evil::cry::cool::arrow::???::?::!: