XMLRPC 上传任意文件漏洞

Category : 资源共享 / Tags : / Date : 2008.06.16 / /

一、漏洞危害说明:

1、主要通过离线BLOG书写工具,透过它们的上传一些可执行的PHP,JS文件到服务器,以对服务器产生攻击。
2、需要使用特别的攻击代码,绕过管理员用户名与密码的检测,才可以真正上传可执行的文件。

二、主要防护方法:

1、如果不需要使用离线BLOG工具,可以直接删除xmlrpc.php文件。
2、按以下方法更新xmlrpc.php文件。

三、主要修改如下:

1、修改metaWeblog_newMediaObject函数,增加文件扩展名的过滤,对没有过滤的文件连接改成了首页,但附件不会上传到服务器上去。
2、对用户名与密码进行过滤,以确认用户名与密码的伪造登入。修改checkuser函数,对username和password增加一个safe_convert函数进行有害字符进行处理。(红色为新增内容)

各位F2Blog的用户记得及时更新!
94



无觅相关文章插件,快速提升流量

Comments

There are no comments.

Leave a Reply

You must be logged in to post a comment.

传奇 似水流年 绽放 风筝 八月照相馆