allowurl.txt是什么?网站日志里面有allowurl.txt访问

时间:2021-08-07 20:33:33
来源:敢闯网
368次阅读

  每天的网站日志里面都有allowurl.txt访问,allowurl.txt是什么?allowurl.txt出现在DeDeCMS中,通常“/data/admin/allowurl.txt”用于判断网站程序是不是DeDeCMS。这是DeDeCMS的程序漏洞,站长最好进行相应安全措施。

allowurl.txt

  除了删除allowurl.txt文件之外,还需要:如果php.ini的配置选项allow_url_fopen为ON的话,建议站长设置为OFF,即服务器建议关闭allow_url_fopen。这种漏洞被称为远程文件包含漏洞,即利用远程文件包含漏洞可以直接执行任意命令。

远程文件包含漏洞

  在实际渗透攻击过程中,攻击者可以在自己的Web服务器上放一个可执行的恶意文件,通过目标网站存在的远程文件包含漏洞来加载文件,从而实现执行任意命令的目的。那么,在关闭远程文件包含漏洞的情况下,我们该怎样读取远程文件内容呢?

  幸好我们有一个很好的PHP模块——curl。下面我就以一个例子说说我用curl远程读取的方法:

  第一、allow_url_fopen=ON的情况下:

<?php 
$str = file_get_contents("https://www.darecy.com/"); 
if ($str !== false) { 
  // do something with the content 
  echo $str; 

?> 

  第二、allow_url_fopen = Off的情况下:

<?php 
$ch = curl_init("https://www.darecy.com/"); 
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1); 
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
$str = curl_exec($ch); 
if ($str !== false) { 
  // do something with the content 
  echo $str; 

curl_close($ch); 
?> 

  正如我们之前讨论的那样,include()和require()主要是为了支持代码库,因为我们一般是把一些经常使用的函数放到一个独立的文件中,这个独立的文件就是代码库,当需要使用其中的函数时,我们只要把这个代码库包含到当前的文件中就可以了。

阅读全文
不要等待机会,而要创造机会

深度阅读

  • 安卓应用将告别APK格式,安卓宣布启用AAB格式

    现在安卓宣布AAB正式取代Android APK,从今年8月份开始,所有提交到Google Play商店的新应用必须采用AAB格式。从接触安卓系统开始,APK…【详细】
    18阅读
  • 打开网站提示您的时钟快了_网页显示您的时钟慢了,解决方法

    有网友反馈,网页突然显示“您的时钟快了”、“您的时钟慢了”。导致这些情况的原因,有:电脑非正常关机、电脑的时钟回到出厂设置了,甚…【详细】
    1021阅读