admin.php（后台或测试地址）漏洞--3.3覆盖升级

https://discuz.dismall.com/forum.php?mod=viewthread&tid=3537244做过admin.php 防止直接恶意访问（安全加固）

发现时间：

2012-11-23

漏洞类型：

信息泄露

所属建站程序：

其他

所属服务器类型：

通用

所属编程语言：

其他

描述：

目标服务器发现后台或测试地址。如login.asp、login.php、upload.php、test.php等后台或测试地址可能含有危险的功能，易被攻击者利用。
验证方式：打开目标页面验证是否是后台或测试地址。

示例：

危害：

1.攻击者可对后台账户进行暴力破解，登录后台控制服务器。

2.攻击者可利用测试或上传页面的不安全功能攻击服务器。

解决方案：

1.设置策略关闭后台登录页面对外开放。

2.删除测试、上传等不安全页面

什么意思 你发的？

pxw2002 发表于 2017-2-18 18:58
什么意思 你发的？

就是漏洞啊

左手dê承諾 发表于 2017-2-18 22:05
就是漏洞啊

不碍事，如果觉得不安全，修改下根目录下面的admin.php 就可以，判断下是否为id 1用户登录后台，其他登录直接跳转到指定页面。

找到根目录的 admin.php 查找 $discuz->init();  在下面加上

1. if(!$_G['uid'] || !getstatus($_G['member']['allowadmincp'], 1)) {
   
2. header('Location: /');
   
3. }

复制代码

1 为 用户id ，根据实际情况多加几个也可以 1,2,3 等等
/ 可以修改为你设置的任意页面，这样别人访问就会跳转到你设定的页面。这个网上都有介绍，要善于搜索！

hhb121 发表于 2017-2-19 09:56
不碍事，如果觉得不安全，修改下根目录下面的admin.php 就可以，判断下是否为id 1用户登录后台，其他登录 ...

我就是做了恶意访问后台的！只能ID1登录状态才能访问后台地址~！

1. if(!$_G['uid'] || !getstatus($_G['member']['allowadmincp'], 1)) {
   
2. header('Location: /');
   
3. }

复制代码

你服务中毒了？

crx349 发表于 2017-3-13 15:08
你服务中毒了？

没有，自从升级了3.3后360检测就出现以上轻微漏洞

crx349 发表于 2017-3-13 15:08
你服务中毒了？