Typecho 修改后台路径留下的漏洞 2017-03-20

作者: | 分类:分享

几年来,做网站用网上的源码,一般都是通过修改后台路径来增加安全系数的,这个博客当然也是修改过后太路径的。一般来说通过修改配置文件 config.inc.php 而达到修改后台路径的目的:

/** 后台路径(相对路径) */
define('__TYPECHO_ADMIN_DIR__', '/admin/');

将其中的“ admin”修改为其他目录,然后通过 FTP 将 admin 目录做相应的名称修改,这就完事了。

然而最近在网上溜达,看到了一篇关于Typecho的重大消息——大漏洞,赶紧照着检测了一下,果然是有漏洞的。原来我们修改了后台路径后这个地址还是暴露在大众面前的,完整地址是:http://你的域名/index.php/action/login , 我拿这个地址去测试了几个Typecho博客,发现都修改了后台路径,但用这个会跳转到正确的登录界面,这就相当于你的修改是无效的,无效的!

娘的,我再也淡定不了了,立马上网搜索下修改方法,终于找到解决方法。
参考该作者的文章,对两个文件进行了修改:typecho\var\Widget\Do.php (line26)
281805458.jpg
接着在 typecho\var\Widget\Options.php (line208) ,继续修改:
4034124924.jpg
只要将以上两个地方(红框内的)修改为一样的参数,然后再去试一试 index.php/action/login,发现已经不存在该问题。

参考文章:https://uu126.cn/post/2448.html

已有 3 条评论

  1. 一壶
    一壶

    咋一直不更新了啊?

  2. 阅非APP
    阅非APP

    阅非APP,一款每天可以分红APP,赶快加入享受每天分红吧!

  3. 青山
    青山

    天真的以为typecho没有漏洞,可能是我用wp太久了