日期:2014-08-27 浏览次数:22723 次
PHPWEB成品网站,版面较好,看起来比较大气,而且支持可视化操作及拖拽,得到越来越多的企业及网络公司青睐。
但是程序本身存在一个致命的漏洞,可以通过SQL注入的方式轻松进入管理员控制后台。
比如网站的域名是xxxx.com,那么后台登陆地址应该是xxxx.com/admin.php,如下图:
用户名和密码都输入admin 'or '1'='1 然后输入相对应的图形验证码,点"管理员登陆"按钮,即可绕过管理登陆验证,成功进入管理员控制后台。
这种低级漏洞出现在流行的PHPWEB成品网站上,实属开发及测试人员不负责的心态,我也是做程序开发的,这种低级错误只是在刚开始工作的时候会犯。不清楚最新的PHPWEB成品网站是否已经修复此漏洞,如果还没有,希望能尽快修复。也希望广大的站长朋友们注意下,实在修复不了,更改后台登陆地址也是一个不错的解决方式,但是还是治标不治本。
【注:新版本已修复此漏洞】
还有一种方法是查看使用phpweb的网站有没有删除安装目录。
xxxx.com/base/install/ 百分之八十至九十使用的破解版的,安装是会直接跳过验证的,输入mysql数据库连接信息就能直接安装,有些菜鸟站长经常会忘记删除安装目录,如果上面一个方法不能用,可以试一下这个方法。我差不多试了10多个网站,有7、8个都存在这样的问题
去申请个免费mysql数据库,填入相关数据可信息,点“下一步”直接重新安装,这样会让网站恢复原始数据了,当然安装的时候会让你输入管理账号和密码,你可以通过输入的管理账号和密码直接进入后台。除非你跟这个网站站长有很深的仇,要不然不建议使用这个方法,太有点缺德了。