首页 | 心情日记 | 建站心得 | 编程技术 | 大盘分析 | 股市信息 | 学习园地 | 电脑技巧 | 物流外贸 | 另类其它 | 站长推荐 | 给我留言 | 相册

用户登陆
用户:
密码:
 
不保存保存一天
保存一月保存一年

站点日历
73 2024 - 3 48
     12
3456789
10111213141516
17181920212223
24252627282930
31


站点统计

最新评论

日志搜索

 标题   内容


新的一年,新的面貌! 本博客会员分为普通会员和高级会员
未知 博客漏洞暂时修补完毕   [ 日期:2010-01-04 00:19:33 ]   [ 来自:本站原创 ]

海外邮件中继,海外退信中继,美国高速VPS,不限流量VPN,邮局维护和管理,邮件网关,EMOS邮件中继,POSTFIX邮件中继,Winwebmail邮件中继,Winmail邮件中继,DBMail邮件中继,JDMail邮件中继,Exchange邮件中继,MDaemon邮件中继 淘宝店:http://shantan.taobao.com 云邮科技官网:www.yunrelay.com

【字体设置:
广州最近几天的天气不好,连续下雨,害我计划出去拍照的计划都泡汤了,实在是郁闷。因为没有办法出去,所以只有呆在家里了。

最近几天写到了很多关于ASP的技术性的文章以及黑客的技术,就把学到的知识来修补自己博客的漏洞,加上在网站看到了很多改版的程序,就学着把自己的博客也进行了改变,比如增加了标签的功能啊,留言本的功能等等 ,还对博客最近的COOKIES的漏洞进行了修补。

现在我发现网上发布的很多修改的版本都还是没有把L-BLOG的跨站攻击的漏洞给补上,都是仅仅是通过COOKIES来验证管理员的身份,其实这样是很危险的,本人拿到了管理员的COOKIES以后就可以利用COOKIES进行欺骗,然后将普通会员的身份提升为管理员,进行后来以后,网站的主控权就归他了。

其实关于COOKIES的漏洞攻击的最好的修复方法就是赋予某个特定的用户权限,这样别人即使提升给管理员,也没有办法进行管理,还是相当于普通会员的身份,这样就没有办法对网站进行破坏了。

上次发布了一篇关于COOKIES漏洞修复的文章,大家可以去看看。

另外为了方便大家,博客又增加了留言本的功能,但是考虑到严查的问题,留言的内容采用了审核的模式,这样就安全多了,免得被一些别有用心的人给利用了。

同时我发现采用点击显示验证码的效果还是不错的,至少可以防止一些博客注册机的攻击。

暂时没有评论
   发表评论 - 不要忘了输入验证码哦!
作者: 用户:  密码:  我要注册 验证码: 
为防止广告注册机程序,验证码不会自动显示,请点击此处显示或者(刷新)验证码!
评论:

禁止表情
禁止UBB
禁止图片
识别链接
识别关键字
确定发布?
最多可以输入200个字,目前你已经输入了0个字;你今日还可以发表10条评论!
 
   

CopyRight © 2008-2010 广东金融学院030904班 All Rights Reserved
Powered by www.030904.com