allowurl.txt是什么?网站日志里面有allowurl.txt访问

时间:2021-08-07 20:33:33
来源:敢闯网
368次阅读

  每天的网站日志里面都有allowurl.txt访问,allowurl.txt是什么?allowurl.txt出现在DeDeCMS中,通常“/data/admin/allowurl.txt”用于判断网站程序是不是DeDeCMS。这是DeDeCMS的程序漏洞,站长最好进行相应安全措施。

allowurl.txt

  除了删除allowurl.txt文件之外,还需要:如果php.ini的配置选项allow_url_fopen为ON的话,建议站长设置为OFF,即服务器建议关闭allow_url_fopen。这种漏洞被称为远程文件包含漏洞,即利用远程文件包含漏洞可以直接执行任意命令。

远程文件包含漏洞

  在实际渗透攻击过程中,攻击者可以在自己的Web服务器上放一个可执行的恶意文件,通过目标网站存在的远程文件包含漏洞来加载文件,从而实现执行任意命令的目的。那么,在关闭远程文件包含漏洞的情况下,我们该怎样读取远程文件内容呢?

  幸好我们有一个很好的PHP模块——curl。下面我就以一个例子说说我用curl远程读取的方法:

  第一、allow_url_fopen=ON的情况下:

<?php 
$str = file_get_contents("https://www.darecy.com/"); 
if ($str !== false) { 
  // do something with the content 
  echo $str; 

?> 

  第二、allow_url_fopen = Off的情况下:

<?php 
$ch = curl_init("https://www.darecy.com/"); 
curl_setopt($ch, CURLOPT_FOLLOWLOCATION, 1); 
curl_setopt($ch, CURLOPT_RETURNTRANSFER, 1); 
$str = curl_exec($ch); 
if ($str !== false) { 
  // do something with the content 
  echo $str; 

curl_close($ch); 
?> 

  正如我们之前讨论的那样,include()和require()主要是为了支持代码库,因为我们一般是把一些经常使用的函数放到一个独立的文件中,这个独立的文件就是代码库,当需要使用其中的函数时,我们只要把这个代码库包含到当前的文件中就可以了。

阅读全文
不要等待机会,而要创造机会

猜你喜欢

  • 去菲律宾做SEO学徒_菲律宾做SEO怎么样

    去菲律宾做SEO,你知道从事的是啥行业吗?网络博彩,专门欺骗国人参与赌博,然后骗取钱财。这种坑人、昧良心,还是违法的工作,你说能去?在此…【详细】
    1496阅读
  • HTTP状态码409是怎么产生的,是什么意思怎么解决

    前些日子,敢闯网配置了百度云加速,没用几天发现存在某种持续的安全威胁,站长便直接删除了百度云加速配置。然而,没过几分钟发现页面提…【详细】
    1518阅读