男的舔女的下面视频在线播放-少妇愉情理仑片高潮日本-久久久久久国产一区二区三区-麻豆精品一区二区综合-国产精品超碰在线观看-网红极品女神精品视频在线-国产亚洲综合777-高清性视频一区二区播放-中文字幕第一页亚洲天堂

Discuz! 官方交流社區(qū)

標題: 含代碼的圖片，也被掃出來了。 [打印本頁]

作者: paladinet 時間: 2020-3-12 17:44
標題: 含代碼的圖片，也被掃出來了。
本帖最后由 paladinet 于 2020-3-12 17:46 編輯

(, 下載次數(shù): 65)
左邊是原圖，右邊是用二進制文本編輯器打開圖片看到的內(nèi)容，明顯有腳本代碼。

(, 下載次數(shù): 68)
這是含腳本代碼的圖片，官方的似乎也能上傳。

請教各位大神：

看截圖這個圖片里被壞人放進去代碼了，如果才能讓上傳的文件自動去掉這些代碼，或干脆不讓上傳！

另外就是已經(jīng)上傳的過的，如果才能讓這些文件不會被執(zhí)行？

還有就是這個代碼想做什么呢？

原圖在壓縮文件中。

作者: Killer 時間: 2020-3-13 00:38
服務器圖片文件夾設置好權限不允許執(zhí)行就可以了

作者: paladinet 時間: 2020-3-13 08:22

Killer 發(fā)表于 2020-3-13 00:38
服務器圖片文件夾設置好權限不允許執(zhí)行就可以了

設置了，也不行，插件目錄呢？現(xiàn)在好多的插件都是加密的。

作者: Killer 時間: 2020-3-13 10:15

paladinet 發(fā)表于 2020-3-13 08:22
設置了，也不行，插件目錄呢？現(xiàn)在好多的插件都是加密的。

首先，沒多少插件是加密的，且應用中心審核時是看的源代碼，不會有掛馬行為的，請不必考慮這部分。

插件目錄一般不存上傳的圖片，即便要存，也可以單獨設置存圖片的目錄的權限，和加密與否根本也是無關的

作者: 老周部落 時間: 2020-3-13 11:31
此類圖片是通過什么渠道上傳的？論壇附件？頭像？

另外服務器正常做好安全配置的話，此類代碼不會被執(zhí)行，請知悉。

作者: 耗子 時間: 2020-3-13 12:04
關閉解析權限即可吧DATA 相應的附件拒絕執(zhí)行的權限

作者: paladinet 時間: 2020-3-13 15:11

Killer 發(fā)表于 2020-3-13 10:15
首先，沒多少插件是加密的，且應用中心審核時是看的源代碼，不會有掛馬行為的，請不必考慮這部分。

插件 ...

1314的插件都是加密的。還有keke的！

作者: dashen 時間: 2020-3-13 15:27
除非你服務器配置有問題，允許圖片被當做php執(zhí)行，否則不會有問題

作者: crx349 時間: 2020-3-13 17:12
一般是掛馬用的

作者: hhb121 時間: 2020-3-13 21:14
沒有辦法禁止上傳圖片木馬，因為需要上傳圖片功能

但是，不論是插件中的文件數(shù)據(jù)儲存目錄還是dz系統(tǒng)的data目錄以及uc中的頭像上傳目錄等，不論是在linux還是win系統(tǒng)中，都可以使用禁止腳本權限來限制該目錄執(zhí)行腳本文件權限，把上傳目錄當作靜態(tài)文件輸出目錄即可，只允許讀取就可以完美解決問題了，從源頭上不給圖片木馬的提權機會。

作者: Failure 時間: 2020-3-13 21:56
這種適合，解析漏洞，包含漏洞。

作者: paladinet 時間: 2020-3-18 19:52

dashen 發(fā)表于 2020-3-13 15:27
除非你服務器配置有問題，允許圖片被當做php執(zhí)行，否則不會有問題

網(wǎng)上說用include就可以讓圖片中的php代碼運行。

作者: dashen 時間: 2020-3-22 17:17

paladinet 發(fā)表于 2020-3-18 19:52
網(wǎng)上說用include就可以讓圖片中的php代碼運行。

那你得有權限改php代碼去include圖片，如果有權限改php代碼，那干嘛不直接執(zhí)行后門

歡迎光臨 Discuz! 官方交流社區(qū) (http://m.sdtechgong.com.cn/)