windows防跨站严重漏洞,可导致服务器被毁
为了能快速了解并处理您的问题,请提供以下基础信息:面板、插件版本:7.8.0系统版本:Windows Server 2022 Datacenter (build 20348) x64 (Py3.8.6)网站环境:IIS
问题描述:通过站点设置 -> 网站目录 -> 防跨站攻击,开启该选项后,php 网站可以通过修改 .user.ini 文件实现关闭防跨站攻击,若网站被不发分子通过程序漏洞,上传php一句话木马文件,获取网站目录时,开启防跨站可以防止其他网站或数据受到损害!但经过测试,当某网站开启防跨站时,只需要通过PHP修改“.user.ini”文件的权限,和内容既可取消防跨站攻击,实现操控系统所有文件!实现步骤看下面:
相关截图(日志、错误):这里使用可道云的“KodExplorer” PHP文件管理器方便进行相关文件编辑和权限修改
开启防跨站后,其他目录及文件确实无法访问!
通过PHP 的 “chmod” 函数修改该文件权限为 “0755”,这里以“KodExplorer” PHP程序为例直接修改文件权限,安装“KodExplorer”的网站没有给予任何太多权限,为普通PHP网站,也没有给予 “exec” 等执行命令的函数权限! 点击保存会直接修改成功!修改后不会立即生效,等待IIS重启或服务器重启时会立即生效!
一但生效后。若网站被挂一句话木马后果非常严重,可以访问任意文件夹,文件内容,网站数据,甚至是直接修改系统文件!!
这里“KodExplorer”只是做演示,其他PHP用 opendir 等函数一样可以随意浏览目录!!
目前本人已知的防护方法:通过属性,修改这两个用户的权限,取消其他所有权限,仅保留“读取”权限,既可!设置好后,通过PHP便无法修改该文件内容以及权限,但是经过测试,依然可以直接“unlink”删除该文件!
不知道这 算不算BUG?希望官方看到回复一下!!
不怕万一就怕一万,谁也不能保证你的网站程序不被挂马,或者一句话,看论坛也有好多用户说自己网站被挂马了,开启了防跨站攻击后,确实可以防止系统文件或其他网站被恶意修改,但不能防“.user.ini”自己:'(!以至于一个网站被黑,整个服务器都遭殃!!
若非BUG,请问有没有解决方法? asp和asp.net更是跨站严重,服务器上只要一个网站被黑,全部遭殃,windows下应该为每个站点单独分配用户才安全的。 这个是设计上的问题,别的软件都是为每个网站创建一个单独的用户,这样每个网站之间就完全隔离了,而宝塔所有网站全用www用户,整个D盘(数据盘)都能用www访问,当然就随便跨站了PHP还好有个user.ini ASP和.net就完全没有安全性可言了,甚至随便下载宝塔面板的数据库,然后破解了密码就直接登录服务器了。
页:
[1]