flyinghail
新手見習
文章: 22
|
 |
« 於: 三月 25, 2005, 10:16:02 下午 » |
|
如果我在模板壓縮包裏放一個php木馬,難道plog也會自動解出來麽?那樣豈不是很危險?有米有人測試過?
|
|
|
|
|
已記錄
|
|
|
|
|
markwu
|
|
« 回覆文章 #1 於: 三月 26, 2005, 11:28:30 上午 » |
|
1. 基本上如果是在 模版 中 include php,這個已經關掉了!
2. 但是如果在上傳新的模版主題時夾雜php,這個檔案的確可以單獨執行。mmm ... 應該用 .htaccess 把 .php, .phtml .php3 .php4 等檔案執行的功能關掉。謝謝提醒。
** 我在 windows 下放一個 phpinfo.php 在 standard 的模版目錄中,的確可以執行。有人可以試試在 linux 下可以嗎?
Mark
|
|
|
|
|
已記錄
|
|
|
|
flyinghail
新手見習
文章: 22
|
|
« 回覆文章 #2 於: 三月 26, 2005, 05:36:10 下午 » |
|
自定義模板是自己上傳一個壓縮檔,系統自動解壓縮到template\plog_{用戶ID}\壓縮檔裏面的文件夾下面....這樣的話可否在系統建立文件夾的時候就自動添加.htaccess(還要注意如果用戶自己在壓縮包裏包含.htaccess的問題) 或者解壓縮后檢查如果有非法文件自動刪掉... 如果這樣問題不解決的話怎麽敢開放用戶自定義模板涅~ 另外可以看看www.5blog.com那種修改模版的形式有沒有什麽值得借鑑的呢....  |
|
|
|
|
已記錄
|
|
|
|
|
lss
|
|
« 回覆文章 #3 於: 三月 26, 2005, 11:50:57 下午 » |
|
我也試了一下,在 linux 主機下,一樣可以執行 templates 目錄下的 php 程式。 我在 blueish 底下試的, phpinfo 可以被正確的執行。 然後,我在 templates/ 底下建了一個 .htaccess ,內容如下: <files *.php>
deny from all
</files>
然後就搞定了。目前看不到什麼後遺症。 |
|
|
|
|
已記錄
|
|
|
|
flyinghail
新手見習
文章: 22
|
|
« 回覆文章 #4 於: 三月 27, 2005, 12:28:29 上午 » |
|
我也試了一下,在 linux 主機下,一樣可以執行 templates 目錄下的 php 程式。 我在 blueish 底下試的, phpinfo 可以被正確的執行。 然後,我在 templates/ 底下建了一個 .htaccess ,內容如下: <files *.php>
deny from all
</files>
然後就搞定了。目前看不到什麼後遺症。 如果我在壓縮包裏面也添加一個.htaccess,裏面什麽都不寫....這樣會怎麽樣呢? |
|
|
|
|
已記錄
|
|
|
|
|
lss
|
|
« 回覆文章 #5 於: 三月 27, 2005, 08:25:30 下午 » |
|
如果我在壓縮包裏面也添加一個.htaccess,裏面什麽都不寫....這樣會怎麽樣呢?
如果裡面什麼都不寫,那表示繼續用上層 .htaccess 的設定,那就沒什麼問題。怕就怕它會亂寫什麼在裡面,准許執行某些程式,甚至副檔名可以不必是 .php ……  愈想愈可怕。 難道要搞個官方模版認證機制?!…真要這樣,會不會變的封閉了? |
|
|
|
|
已記錄
|
|
|
|
flyinghail
新手見習
文章: 22
|
|
« 回覆文章 #6 於: 三月 28, 2005, 09:09:06 上午 » |
|
如果裡面什麼都不寫,那表示繼續用上層 .htaccess 的設定,那就沒什麼問題。怕就怕它會亂寫什麼在裡面,准許執行某些程式,甚至副檔名可以不必是 .php …… 愈想愈可怕。 難道要搞個官方模版認證機制?!…真要這樣,會不會變的封閉了? 是啊是啊~我就是這個意思....是不是官方要注意一下這個問題~很嚴重的呢 |
|
|
|
|
已記錄
|
|
|
|
|
markwu
|
|
« 回覆文章 #7 於: 三月 28, 2005, 09:16:54 上午 » |
|
看樣子唯一的方式是解開 .tar.gz 後先刪除
.php, .phtml, .php3, .htaccess 然後再安裝。要不然,無解。
template editor 我已經防範了這個問題。但是 core 當中新增模版的部分一定沒有。
flyinghail,能請你幫個嗎?到 bugs.lifetype.net 報告這個 bug。程度為『嚴重』。
Mark
|
|
|
|
|
已記錄
|
|
|
|
flyinghail
新手見習
文章: 22
|
|
« 回覆文章 #8 於: 三月 28, 2005, 09:23:03 上午 » |
|
看樣子唯一的方式是解開 .tar.gz 後先刪除
.php, .phtml, .php3, .htaccess 然後再安裝。要不然,無解。
template editor 我已經防範了這個問題。但是 core 當中新增模版的部分一定沒有。
flyinghail,能請你幫個嗎?到 bugs.lifetype.net 報告這個 bug。程度為『嚴重』。
Mark 偶英文水平不佳呢  不知道該怎麽用英文說清楚涅  |
|
|
|
|
已記錄
|
|
|
|
|
markwu
|
|
« 回覆文章 #9 於: 三月 28, 2005, 09:35:31 上午 » |
|
幫你 report 了。
Mark
|
|
|
|
|
已記錄
|
|
|
|
flyinghail
新手見習
文章: 22
|
|
« 回覆文章 #10 於: 三月 28, 2005, 09:38:19 上午 » |
|
幫你 report 了。
Mark 麻煩你了~ |
|
|
|
|
已記錄
|
|
|
|
flyinghail
新手見習
文章: 22
|
|
« 回覆文章 #11 於: 三月 29, 2005, 01:01:57 下午 » |
|
has this been tested to work? In class/template/templatesandbox.class.php (which is called a "template sandbox" for obvious reasons  ), there is a method called checkTemplateFolder() which will check if any file with one of the forbidden extensions can be found in the template folder. The list of forbidden files is controlled via the 'upload_forbidden_files' setting under administration->upload_forbidden_files I'm assiging this to you mark, could you confirm whether it works or not? If it does, please reassign it back to me and I'll see what I can do. 看到的回復....接下來該怎麽做涅 |
|
|
|
|
已記錄
|
|
|
|
|
james
|
|
« 回覆文章 #12 於: 三月 29, 2005, 09:27:42 下午 » |
|
我試著把一個php檔案包到一個模版壓縮檔中(我用mtplog.tar.gz試驗) 發現果真如oscar所說的,是無法上傳模版的。 看來checkTemplateFolder() 是有動作的。 應該在"禁止上傳檔案"處設定好,就不會有太大問題的。 不過我好奇的是,mark和lss是怎麼把php檔夾帶上傳成功呢? 該不會是直接用管理者的權限把檔案傳到模版目錄下呢? 嘿~不可以這樣喔 ^^ |
|
|
|
|
已記錄
|
|
|
|
|
lss
|
|
« 回覆文章 #13 於: 三月 29, 2005, 09:32:43 下午 » |
|
不過我好奇的是,mark和lss是怎麼把php檔夾帶上傳成功呢? 該不會是直接用管理者的權限把檔案傳到模版目錄下呢? 嘿~不可以這樣喔 ^^ 不對,我不是用管理者權限把檔案上傳至模版目錄下,而是在該目錄下用 vi 直接建檔。 哈!考慮不周 |
|
|
|
|
已記錄
|
|
|
|
|
james
|
|
« 回覆文章 #14 於: 三月 29, 2005, 09:45:06 下午 » |
|
剛才又檢查了一次,只要在 "全部站台管控"->"全域設定"->"上傳設定"->"upload_forbidden_files"裡面 設成 *.php *.php3 *.php4 *.phtml *.htm *.html *.exe *.com *.bat .htaccess 這樣只要模版壓縮檔裡面含有 上面任何一種類型的檔案,通通無法上傳。 目前唯一的缺點是,那個錯誤訊息可能要改一下 當時翻的不好. 現在的訊息是"在這個模版設置中有些檔案禁止存取。" 我想改翻成"在這個模版設置中,包含了禁止上傳的檔案類型。" 會在4/1前,最後在submit到bugs中,把一些翻的不太順的語句在修飾一下。  |
|
|
|
|
已記錄
|
|
|
|
|
