看到久草CMS的审计报告(站长防护)

天维之骁 4月前 1341

先说懒人结论防护方案

1:修改默认后台,将 域名/adminx  改成其他 比如随机字符   hulu   zhangsan   liuneng

2:修改默认账户密码,官网默认 9ccms,改成其他  我一般用这个 https://suijimimashengcheng.bmcx.com/

3:开启宝塔-NG防护墙,可以拦截多数不合法参数。



审计思路

网上的审计报告,基本是基于【弱口令】延申出来的问题,首先就是要干掉默认信息【默认后台】【默认账密】。拿到弱口令之后,无论是修改广告代码,还是拿权限,一切水到渠成


一:防止爬虫扫弱口令

这是一个if判断语句。如果这个判断语句成立,那么就会判定存在弱口令。他没有去通过输入密码等尝试登录后返回的信息判断是否存在弱口令,而是利用了程序本身的特性——没有更改密码,就会弹窗提醒这样就大大降低和程序的复杂性和时间成本

if res.status_code==200 and "当前使用的是默认账号" in res.text:,

Image

如何应对被批量扫弱口令?

修改默认后台和密码!!!

修改默认后台和密码!!!

修改默认后台和密码!!!


二:如何防止插入非法参数(前台反射XSS)

http://网站/static/home/videojs/index.php?Play=%27;alert(document.cookie);%27

网上看到的审计报告是这样的,然后到宝塔开启NG防火墙,拦截脚本参数。

Image

Image

Image

同时加上相应的URL黑名单

进入【NGINX防火墙】-【全局配置】-【管理URL黑名单】添加以下内容

/JCSQL/Admin/Ad/
/JCSQL/Admin/Security/
/JCSQL/Admin/Basic/
/JCSQL/Admin/Plug/
/Static/Home/VideoJS/index.php


总结:大家注意网站基本安全,有问题留言,协助解决。

最近论坛的图都裂开了,推荐一个图床:https://www.setuimg.com/

最后于 4月前 被天维之骁编辑 ,原因:
最新回复 (0)
返回
发新帖