近期会与 Bug.Center.Team 合作,对程序代码的安全性进行一次检查。检查完毕后,将发布一个2.0.3的升级包。此次合作旨在加强本程序的安全性,为程序的用户带来一个更安全的使用环境,所以请大家支持。
引用
关于Bug.Center.Team
Bug.Center.Team-漏洞预警中心小组(简称BCT)是一个专业研究脚本程序安全以及安全服务的网络安全组织,凭借对于脚本程序多年来的研究经验,组织在成立至今聚集了一批对于脚本程序有着专业知识的人才,在国内脚本程序安全领域当中有着一定的地位。
BCT目前主要以脚本程序代码安全审核为主,并且对于网站、以及服务器的安全评估、安全服务等等都有一定的成果。
我们相信以我们对于技术的执着,对于用户以及合作方的诚信、协作的态度,一定会在网络安全领域创出自己独有的一片天。
Bug.Center.Team-漏洞预警中心小组(简称BCT)是一个专业研究脚本程序安全以及安全服务的网络安全组织,凭借对于脚本程序多年来的研究经验,组织在成立至今聚集了一批对于脚本程序有着专业知识的人才,在国内脚本程序安全领域当中有着一定的地位。
BCT目前主要以脚本程序代码安全审核为主,并且对于网站、以及服务器的安全评估、安全服务等等都有一定的成果。
我们相信以我们对于技术的执着,对于用户以及合作方的诚信、协作的态度,一定会在网络安全领域创出自己独有的一片天。
用js实现cookie控制。之所以做这个东西,是因为至今还是有很多人在用记事本修改UTF-8文件,由此导致COOKIE送出不正常。此外,发现一些服务器上怎么也登入不了。用javascript,应该对服务器的兼容性好一些。
使用方法:
1. 下载,解压,splogin.php上传到安装根目录下(建议改成只有您一人知道的文件名),images/js下的文件请传到 images/js 下。不需要修改任何属性。
2. 在浏览器里打开 url/splogin.php(或更改后的新名字)。
3. Userid填写ID,注意不是用户名。一般来说,在安装时设置的默认管理员,ID都是1。
请打开浏览器的javascript支持和cookie支持。
这个程序的原理是用javascript写入登入信息的cookie,成功率应该是很高的。如果用这个还不能登入的话,暂时我也没有别的方法了。IE/Firefox测试通过。
下载文件
使用方法:
1. 下载,解压,splogin.php上传到安装根目录下(建议改成只有您一人知道的文件名),images/js下的文件请传到 images/js 下。不需要修改任何属性。
2. 在浏览器里打开 url/splogin.php(或更改后的新名字)。
3. Userid填写ID,注意不是用户名。一般来说,在安装时设置的默认管理员,ID都是1。
请打开浏览器的javascript支持和cookie支持。
这个程序的原理是用javascript写入登入信息的cookie,成功率应该是很高的。如果用这个还不能登入的话,暂时我也没有别的方法了。IE/Firefox测试通过。
下载文件
前一段时间刚看到keso与phpx.com事件,这几天就相继有北辰和swearl 反应被人用Trackback骚扰了。我这里虽然大体平静,但也偶然会有几个spammer光顾。看起来,继评论、留言本之后,广大spammer又发现新的战场了。
最容易被Trackback Spam利用的一点是Trackback URL的连续性,phpx的老大就是利用了这一点。大多数blog程序在设计的时候,Trackback ID都是连贯的,举例如下所示:
http://127.0.0.1/test/tb.php?t=1
http://127.0.0.1/test/tb.php?t=2
http://127.0.0.1/test/tb.php?t=3
http://127.0.0.1/test/tb.php?t=4
显然这样的设计,对于自动发送spam的程序来说真是太爽了。
现在的问题就是怎么去改进。改动ID的规则,改连续为随机,这是个解决方法。但是这样的改动不算小。而且,连续性的ID之所以受到欢迎是有原因的,比如管理起来很方便,比如可以利用SQL现成的auto_increment生成等。所以,最好能在不变动ID的情况下防范自动spam。
那就只能给Trackback加上一个“验证码”。在原有的trackback地址之外添加一个参数,并在接受trackback时验证。
我现在的做法是:取日志的ID,再取日志发布时间的Unix时间戳记,两者连接后作md5计算,截取md5字串的开头一部分作为验证码。PHP程序大致如下:
trackback的地址变成:
http://127.0.0.1/test/tb.php?t=1&extra=400e6
http://127.0.0.1/test/tb.php?t=2&extra=fa933
http://127.0.0.1/test/tb.php?t=3&extra=349d2
……
如果是防范自动推导Trackback地址并发送spam的程序,那么至此已经可以解决问题了。我想大部分spam都是这样的程序发送的。
当然,有可能魔高一丈。比如说在知道了验证码的算法后,spam程序依然可以从rss等地方提取出时间和ID这两个值来,自动推算出验证码。不过我想暂时地,不会有那么无聊的人士做这样的事情的。而且对策也不是没有。我们可以自设一个密码字符,加入到被md5计算的字符串中去。不过(-_-)spammer实在没辙了还可以直接上你的网站“采集”trackback地址啊。这个怎么解决呢?好吧,如果真有那么一天,我只能用javascript来生成地址了……(至于么......)
最容易被Trackback Spam利用的一点是Trackback URL的连续性,phpx的老大就是利用了这一点。大多数blog程序在设计的时候,Trackback ID都是连贯的,举例如下所示:
http://127.0.0.1/test/tb.php?t=1
http://127.0.0.1/test/tb.php?t=2
http://127.0.0.1/test/tb.php?t=3
http://127.0.0.1/test/tb.php?t=4
显然这样的设计,对于自动发送spam的程序来说真是太爽了。
现在的问题就是怎么去改进。改动ID的规则,改连续为随机,这是个解决方法。但是这样的改动不算小。而且,连续性的ID之所以受到欢迎是有原因的,比如管理起来很方便,比如可以利用SQL现成的auto_increment生成等。所以,最好能在不变动ID的情况下防范自动spam。
那就只能给Trackback加上一个“验证码”。在原有的trackback地址之外添加一个参数,并在接受trackback时验证。
我现在的做法是:取日志的ID,再取日志发布时间的Unix时间戳记,两者连接后作md5计算,截取md5字串的开头一部分作为验证码。PHP程序大致如下:
<?php
function tbcertificate ($blogid, $pubtime) {
$str=substr(md5($blogid.$pubtime), 0, 5);
return $str;
}
?>
trackback的地址变成:
http://127.0.0.1/test/tb.php?t=1&extra=400e6
http://127.0.0.1/test/tb.php?t=2&extra=fa933
http://127.0.0.1/test/tb.php?t=3&extra=349d2
……
如果是防范自动推导Trackback地址并发送spam的程序,那么至此已经可以解决问题了。我想大部分spam都是这样的程序发送的。
当然,有可能魔高一丈。比如说在知道了验证码的算法后,spam程序依然可以从rss等地方提取出时间和ID这两个值来,自动推算出验证码。不过我想暂时地,不会有那么无聊的人士做这样的事情的。而且对策也不是没有。我们可以自设一个密码字符,加入到被md5计算的字符串中去。不过(-_-)spammer实在没辙了还可以直接上你的网站“采集”trackback地址啊。这个怎么解决呢?好吧,如果真有那么一天,我只能用javascript来生成地址了……(至于么......)
由蓝景科技推出的PHP论坛程序产品,众盼已久的 BMForum 2006 正式版,于2006年3月24日正式发布。这次发布的新版本,聚集了广大用户的诸多期望,包括用户组复制、分区回收站、分版广告等实用功能,同时,也修复了较多的已知问题,包括新建论坛后顺序不正确等经常发生的问题,都在此次发布的 BMForum 2006 4.0 稳定正式版得以体现。
下载:http://www.bmforum.com/down/
本次更新包括下列内容(较 BMForum 4.0 RC1):
+ 全面打破传统分类方式 —— 主题随意贴(Tags、标签)
+ 引入先进的 AJAX 技术,普遍用于发帖和浏览
+ 根据 XHTML1.0 + CSS 标准重构程序
+ 可设置注册时需要邀请码 即类似GMail的注册方式!
+ 首页热门 Tags
+ 基于 Tags 的相关主题
+ 完善回收站/帖子审核,支持分区回收站
+ Apache、Zeus Rewrite 支持,完全虚拟 HTML 生成
下载:http://www.bmforum.com/down/
本次更新包括下列内容(较 BMForum 4.0 RC1):
+ 全面打破传统分类方式 —— 主题随意贴(Tags、标签)
+ 引入先进的 AJAX 技术,普遍用于发帖和浏览
+ 根据 XHTML1.0 + CSS 标准重构程序
+ 可设置注册时需要邀请码 即类似GMail的注册方式!
+ 首页热门 Tags
+ 基于 Tags 的相关主题
+ 完善回收站/帖子审核,支持分区回收站
+ Apache、Zeus Rewrite 支持,完全虚拟 HTML 生成
分页: 1/2 
