| lb的论坛一直存在的一个不能隐藏后台的漏洞,我们必须确保,后台的出现会导致密码被穷举,而且还可以防范当坛主密码被盗不会对论坛和服务器带来毁灭性灾难,所以我们分两情况讨论!
1,更改后台,但坛主登陆后可以出现后台连接,但是普通用户不可见,但是这一点雷傲没有做到,看图,用坛主用户登陆,错误密码后出现如下情况
如实这就可以看到了后台,对于不支持或者没有采用验证码的服务器可以实施穷举,当实行了验证码以后我们还要防止坛主密码被窃取后修改后台,上传CGI或者PHP ,ASP木马对整个站点乃至服务器带来毁灭性打击,所以我们谈到第二点:隐藏后台,把后台让坛主记到心里
方法:新建立一个xxx.cgi(你随便怎么命名,不要用什么admin.cgi ,guanli.cgi等好猜解的就好了)然后复制原来的admin.cgi内容到这个里面,然后修改XXX.cgi和admin.lib.pl里的admin.cgi为xxx.cgi,原来的admin.cgi我们就给他复制成register.cgi内容,到新的xxx.cgi切记这个时候千万不要修改bbs.lib.pl里的admin.cgi,要修改就把admin.cgi置换到register.cgi!这里是开个玩笑了,只是讽刺那些人,让他们去注册论坛吧,好好学习知识!
1:对于不会出现坛主密码泄露或者不支持穷举的服务器我们就没必要更改后台
2:对于不支持穷举但是会出现坛主密码泄露或着丢失可能的我们选择上面的方法
3:对于会出现支持穷举但是不会出现坛主密码泄露或者丢失的我们还是应该选择上面的方法,或者官方出现了修补如上图漏洞的方法。隐藏了后台
|
