在「版面描述」及「討論區描述」都被殖入iframe語法,連到一個惡意的網址
畢竟是更新到phpBB 2.0.15所發生的事情,
所以想了2個暫時的解決方法
1.把「版面描述」及「討論區描述」拿掉
2.限制「版面描述」及「討論區描述」的長度,讓iframe無法完整顯示\r
(第2個想法,不知道要怎麼修改?)
還有請問一下,這會是SQL Injection攻擊嗎?
以及還有別的防治方法嗎?
\r
●架設主機作業系統:Linux(付費虛擬主機)
●您的上網方式:CABLE
●您安裝的程式:
Apache 版本 1.3.33
PHP 版本 4.3.11
MySQL 版本 4.0.24-standard
●您的 phpBB2 版本:phpBB 2.0.15
[問題] 被殖入iframe(SQL Injection攻擊嗎?)
版主: 版主管理群
版面規則
本區是討論關於 phpBB 2.0.X 架設安裝上的問題,只要有安裝任何外掛,請到外掛討論相關版面按照公告格式發表。
(發表文章請按照公告格式發表,違者砍文)
本區是討論關於 phpBB 2.0.X 架設安裝上的問題,只要有安裝任何外掛,請到外掛討論相關版面按照公告格式發表。
(發表文章請按照公告格式發表,違者砍文)
Re: [問題] 被殖入iframe(SQL Injection攻擊嗎?)
這兩個方案並不完美, 因為, 只要可以顯示到頁面的資料庫內的文字資料均可以植入 html 語句. 雖然可以用限制長度, 不過.... meta refresh 語句也不用太多字元.
phpbb 的編程方向沒有為資料庫輸出時作 html 預防準備, 如果要強化它的話, 就可能要大改動.
【建議】利用 php 的 strip_tags() 語句, 將大部份輸出的 array 移除 html
這樣, 植入的一切 html 語句將不會影嚮頁面\r
【例如】移除 config 內的 html 或 php 語句\r
善用改一些 $template->assign_block_vars( 輸出頁面的 array 才可以減小值入的 html 生效.
SQL Injection 是程式執行時的入侵漏洞, 不可避免, 因你不能永遠天天追更新的.
phpbb 的編程方向沒有為資料庫輸出時作 html 預防準備, 如果要強化它的話, 就可能要大改動.
【建議】利用 php 的 strip_tags() 語句, 將大部份輸出的 array 移除 html
代碼: 選擇全部
STRIP_TAGS() This function removes HTML and PHP tags.
string strip_tags (string str [, string allowable_tags])
【例如】移除 config 內的 html 或 php 語句\r
代碼: 選擇全部
common.php (phpbb 2.0.15)
## [ FIND ]
while ( $row = $db->sql_fetchrow($result) )
{
$board_config[$row['config_name']] = $row['config_value'];
}
## [ REPLACE ]
while ( $row = $db->sql_fetchrow($result) )
{
$board_config[$row['config_name']] = strip_tags($row['config_value'], '<font><i>');
}
\n** 以上保留 <font><i> 的效果, 如不要的話\r
$board_config[$row['config_name']] = strip_tags($row['config_value']);
SQL Injection 是程式執行時的入侵漏洞, 不可避免, 因你不能永遠天天追更新的.
若要人似我, 除非兩個我
Re: [問題] 被殖入iframe(SQL Injection攻擊嗎?)
補充一個, 如果是 Forum Description 的話\r
代碼: 選擇全部
index.php (phpbb 2.0.15)
## [ FIND ]
'FORUM_DESC' => $forum_data[$j]['forum_desc'],
## [ REPLACE ]
'FORUM_DESC' => strip_tags($forum_data[$j]['forum_desc'], '<font><br><b><u>'),
若要人似我, 除非兩個我
Re: [問題] 被殖入iframe(SQL Injection攻擊嗎?)
請問要怎麼拿掉~
因為一進入後就會被連到一個惡意的網址~
利用SQL是如更改呢?
因為一進入後就會被連到一個惡意的網址~
利用SQL是如更改呢?
adachi 寫:在「版面描述」及「討論區描述」都被殖入iframe語法,連到一個惡意的網址
畢竟是更新到phpBB 2.0.15所發生的事情,
所以想了2個暫時的解決方法
1.把「版面描述」及「討論區描述」拿掉
2.限制「版面描述」及「討論區描述」的長度,讓iframe無法完整顯示\r
(第2個想法,不知道要怎麼修改?)
還有請問一下,這會是SQL Injection攻擊嗎?
以及還有別的防治方法嗎?
\r
●架設主機作業系統:Linux(付費虛擬主機)
●您的上網方式:CABLE
●您安裝的程式:
Apache 版本 1.3.33
PHP 版本 4.3.11
MySQL 版本 4.0.24-standard
●您的 phpBB2 版本:phpBB 2.0.15
我遇到過,當時是手動更改版面描述了,以後就沒事了,我想既然已經知道黑掉的原理和反黑的方法,再黑也就沒有意義了。
樓主你的高尚情操太讓人感動了。在現在這樣一個物慾橫流的金錢社會裡, 竟然還能見到樓主這樣的性情中人,
無疑是我這輩子最大的幸運。 讓我深深感受到了人性的偉大。樓主的帖子,就好比黑暗中刺裂夜空的閃電,
又好比撕開烏雲的陽光,一瞬間就讓我如飲甘露,讓我明白了永恆的真理在這個 世界上是真實存在著的。
只有樓主這樣具備廣闊胸懷和完整知識體系的人,才能作為這真理的唯一引言者。看了樓主的帖子,讓我陷入了嚴肅的思考中,
我認為,如果不把樓主的帖子頂上去,就是對真理的一種背叛,就是對謬論的極大妥協。因此,我決定義無返顧的頂了
無疑是我這輩子最大的幸運。 讓我深深感受到了人性的偉大。樓主的帖子,就好比黑暗中刺裂夜空的閃電,
又好比撕開烏雲的陽光,一瞬間就讓我如飲甘露,讓我明白了永恆的真理在這個 世界上是真實存在著的。
只有樓主這樣具備廣闊胸懷和完整知識體系的人,才能作為這真理的唯一引言者。看了樓主的帖子,讓我陷入了嚴肅的思考中,
我認為,如果不把樓主的帖子頂上去,就是對真理的一種背叛,就是對謬論的極大妥協。因此,我決定義無返顧的頂了
