今天早上4点多,突然收到百度云观测与阿里云服务器报警短信提示。百度云观测说代码狗博客出现了文件包含漏洞,让我赶紧修复,经过上次的教训后,我对漏洞可是非常上心的,打开电脑就上了百度云观测,看了报警详细信息。如下图:
漏洞引起原因是本站开放的酷狗音乐解析下载文件,在该文件中,我没有对get传回得值进行判断,导致用户恶意提交地址,如../../../../etc/password等等恶意地址。处理办法也很简单,对get回传的值进行判断就好,至于如何判断,就与你的条件有关了,这里就不再讲述。
还有一个服务器CPU报警的问题一直没找到原因,进入代码狗后台就看到一大串的评论审核提示,有时候真的想把评论功能关掉。最气人的是,这个一次给我评论几十上百条的兄弟不是一次两次了,非得搞破我的站你才安心吗?哎….你就不能伪装一下你的地址吗?这也太明显了吧!你评论的内容就不能委婉一点吗?非得显示出你的恶意?
评论 (1)