allowurl.txt是什么?网站日志里面有allowurl.txt访问

时间:2021-08-07 20:33:33
来源:敢闯网
368次阅读

  每天的网站日志里面都有allowurl.txt访问,allowurl.txt是什么?allowurl.txt出现在DeDeCMS中,通常“/data/admin/allowurl.txt”用于判断网站程序是不是DeDeCMS。这是DeDeCMS的程序漏洞,站长最好进行相应安全措施。

allowurl.txt

  除了删除allowurl.txt文件之外,还需要:如果php.ini的配置选项allow_url_fopen为ON的话,建议站长设置为OFF,即服务器建议关闭allow_url_fopen。这种漏洞被称为远程文件包含漏洞,即利用远程文件包含漏洞可以直接执行任意命令。

远程文件包含漏洞

  在实际渗透攻击过程中,攻击者可以在自己的Web服务器上放一个可执行的恶意文件,通过目标网站存在的远程文件包含漏洞来加载文件,从而实现执行任意命令的目的。那么,在关闭远程文件包含漏洞的情况下,我们该怎样读取远程文件内容呢?

  幸好我们有一个很好的PHP模块——curl。下面我就以一个例子说说我用curl远程读取的方法:

  第一、allow_url_fopen=ON的情况下:

<?php 
$str = file_get_contents("https://www.darecy.com/"); 
if ($str !== false) { 
  // do something with the content 
  echo $str; 

?> 

  第二、allow_url_fopen = Off的情况下:

<?php 
$ch = curl_init("https://www.darecy.com/"); 
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1); 
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
$str = curl_exec($ch); 
if ($str !== false) { 
  // do something with the content 
  echo $str; 

curl_close($ch); 
?> 

  正如我们之前讨论的那样,include()和require()主要是为了支持代码库,因为我们一般是把一些经常使用的函数放到一个独立的文件中,这个独立的文件就是代码库,当需要使用其中的函数时,我们只要把这个代码库包含到当前的文件中就可以了。

阅读全文
不要等待机会,而要创造机会

猜你喜欢

  • allowurl.txt是什么?网站日志里面有allowurl.txt访问

    每天的网站日志里面都有allowurl.txt访问,allowurl.txt是什么?allowurl.txt出现在DeDeCMS中,通常“/data/admin/allowurl.txt”用于…【详细】
    368阅读
  • 帝国CMS如何自定义tags标签聚合页面_帝国tags伪静态页标题怎么修改

    现在许多站长,都非常喜欢用开源的CMS系统建站,其中比较受欢迎的诸如:帝国CMS。帝国CMS,为站长提供免费、稳定可靠、可二次开发的内容…【详细】
    1098阅读