大家都知道ASPCMS已經(jīng)停更有幾年了，但是使用的人還有很多，還有一批忠實的擁簇就喜歡用ASPCMS的程序，并且很多網(wǎng)絡(luò)公司及網(wǎng)站制作外包團隊都在使用aspcms程序來制作網(wǎng)站，任何一個開源程序一旦使用的人比較多的時候就會有一些黑客開始研究這些系統(tǒng)的漏洞。

現(xiàn)在網(wǎng)絡(luò)上已經(jīng)有很多黑客公布的一些漏洞攻擊教程，以及一些常見的漏洞利用方法，雖然aspcms官方的版本已經(jīng)更新并且修復(fù)了大部分的已知bug，但是一些通用的漏洞還是無法解決的，比如aspcms后臺創(chuàng)建模板的時候可以直接創(chuàng)建asp的文件，這樣就很容易的被黑客們利用，所以在aspcms的程序中已經(jīng)限制了模板創(chuàng)建格式，模板只能創(chuàng)建.html、js或者css格式的文件，但是對于服務(wù)器iis版本較低的站長朋友們來說，黑客還是可以通過創(chuàng)建.asp;.html這種格式的模板來實現(xiàn)掛馬的。

現(xiàn)在來告訴大家一個最簡單的而且能夠從根本上解決aspcms程序本掛馬的問題，而且也可以徹底解決后臺漏洞問題，畢竟修復(fù)程序?qū)εc大部分的站長們來說都是一件比較困難而且繁瑣的事情，我們就應(yīng)該直接從服務(wù)器入手，來做好最基礎(chǔ)的防護。

原理很簡單，因為所有的aspcms后臺漏洞的最終掛馬方法都是要在服務(wù)器里邊的asp文件中寫入可執(zhí)行代碼，并且通過執(zhí)行對應(yīng)的asp文件來實現(xiàn)掛馬，所以我們需要做的就是禁止這些不安全的asp文件執(zhí)行，因為aspcms后臺設(shè)計的還是比較合理的，在后臺或者網(wǎng)站前臺能夠?qū)崿F(xiàn)給服務(wù)器寫入文件的目錄并不是很多，準(zhǔn)確的來說也就4個文件夾，因此我們只要禁止aspcms程序中4個文件的執(zhí)行權(quán)限就OK了。

需要禁止執(zhí)行權(quán)限的目錄是： /data/ （如果你修改過自己的數(shù)據(jù)庫文件夾名稱，這里修改成你修改后的數(shù)據(jù)庫文件夾名稱即可） /templates/（也就是aspcms程序的模板文件夾，如果條件允許的話大家最好是把自己的服務(wù)器iis升級到7.0版本以上） /upload/ （這個一定要禁止，因為后臺漏洞很多都是直接向這個文件夾上傳可執(zhí)行文件來實現(xiàn)掛馬的） /config/ （有的站長擔(dān)心禁止了這個目錄以后網(wǎng)站程序無法運行，其實不需要擔(dān)心的，因為config這個目錄不需要執(zhí)行權(quán)限，只要有讀取的權(quán)限aspcms就能正常運行） 只要禁止了這4個文件夾的執(zhí)行權(quán)限以后，你的程序基本上就不會再被掛馬了，起碼目前網(wǎng)絡(luò)上流行的aspcms漏洞還沒有超過這4個文件夾的。前三個文件夾相信站長們都在知道原因的，但是最后一個config文件夾估計很多一部分站長都不知道問什么要禁止的，因為在aspcms程序后臺修改幻燈片的時候，其實是會在config文件夾寫入代碼的，如果這時候黑客們通過在幻燈片提交頁面做簡單的代碼修改就可以把一句話木馬注入到config/AspCms_Config.asp這文件中，所以我們還是要禁止這個文件夾的執(zhí)行權(quán)限比較安全。

云部落資源網(wǎng)普通

打賞 收藏 海報 鏈接