一行代碼加強 dede系統 include 目錄訪問安全【原創】

技術分享 2020-03-24 15:09:28

dede織夢是老牌內容系統,開源免費,對普及網站建很大功勞


但是遺憾的是真的漏洞多如牛毛,不停的有人來掛馬

為了保證安全,最加單的方案是修改常用目錄,這樣把漏洞入口隱藏起來,不讓黑客找到入口


起碼目錄都很好操作,唯有include目錄不好修改,依賴這個目錄的代碼太多了,網上有修改的教程,一般要改好多文件。


這里推薦的辦法是一行代碼:


rewrite ^/inclue/(.*)$ /gothehill/$1 last;


這是一個nginx偽靜態配置文件,一般的網站或者虛擬機都支持并且非常容易配置。

這樣就把 include 文件的重災區給隔離起來,但是又不影響其他php文件的訪問。


然后發現后臺登陸驗證碼要直接訪問這個目錄,真實奇葩了。

在加一行,最后結果


rewrite ^/include/vdimgck\.php$ /include/vdimgck.php last;

rewrite ^/include/(.*)$ /gothehill/$1 last;


----


當然強烈不推薦新的項目繼續使用本套軟件。


--更新

發現后臺有js文件和靜態文件在這個目錄里面,真是絕了啊

改為

rewrite ^/include/(.*)\.php$ /gothehill/$1 last;

五分pk10是全国统一开奖吗