β

关于外界声称"明月浩空模板(盗版)含有后门"的说明

明月浩空博客 22 阅读
 

最近总有模板用户(基本都是盗版)来问我关于外界声称模板存在漏洞,后门的疑问,作为模板作者,解释如下:

favicon.php和image.php这个漏洞别太紧张,是我当初写模板用作测试的,好像是2.3版本,包含了file_get_contents参数而且没过滤参数。

同时网站前端是不会被调用(也就是说不用或者不分析我的模板是不可能知道这2个文件的!)

导致于可以使用file_get_contents参数来获取emlog配置文件config内容从而实现入侵。

要想利用这个漏洞有很多前提

1,网站没任何防火墙和CDN

2,还要知道这个文件路径以及怎么使用漏洞(只有用我模板的(“所谓的黑客”)才知道有这么个文件)

3,黑客有一定技术实现伪装cookies登录emlog后台上传webshell

4,网站mysql数据库支持外网IP直接访问

5,黑客有一定技术使用mysql来提权入侵,比如破解后台密码或者修改mysql密码

6, 远古时期的盗版模板存在此漏洞 正版模板用户早已修复这2个文件以及另外一个漏洞问题 ,如有疑问,正版查询: https://vip.limh.me

所以不要再听那些所谓的盗版模板因为没有购买正版模板无法获得技术支持而导致自己网站被黑而狂吠不已了...呵呵哒

 
作者:明月浩空博客
李明浩博客 - 记录生活点滴,这苦涩的根必将会迎来满园芬芳!

发表评论