(3)禁止sql命令执行功能,该功能的危害非常大,如果必须要要开启该功能,也可以使用后立即关闭,获知采取固定犯维护系统。 (4)网站基本信息屏蔽,在湘文章系统中都会提供一个系统基本情况信息显示,该功 能其实意义不大,可以禁用显示网站的真实路径,这样由于没有真实物理路径也就无法生成 shell。 (5)access数据库已经要采取防下载功能,将数据库文件修改为一个特别复杂的名称。 (6)通过WebCruiser软件进行SQL注入等漏洞扫描,可以发现一个高难度的SQL注入 点,通过分析CMS系统的数据库表,将用户表名,管理员表等列名全部加入到WebCmiser表和列名中,可以比较方便的获得表的内容。通过破解管理员密码直接进入后台,然后寻找获取Webshell的方法,最终获取Webshell。 |
