源码论坛公告:本站是一个交流学习建站资源的社区论坛,旨在交流学习源码脚本等资源技术,欢迎大家投稿发言! 【点击此处将锦尚放在桌面

源码论坛,商业源码下载,尽在锦尚中国商业源码论坛

 找回密码
 会员注册

QQ登录

只需一步,快速开始

查看: 1943|回复: 0
打印 上一主题 下一主题

[源码出售] 吉林信息网v6.0源码程序存在很多漏洞和bug,提供部分修正方法,并提供最新修正版

[复制链接]

2

主题

3

帖子

0

金币

初级会员

Rank: 1

积分
2
跳转到指定楼层
1#
发表于 2009-12-21 18:38:38 | 只看该作者 回帖奖励 |倒序浏览 |阅读模式
本人网站金点点信息网(http://www.jdd9.cn)原本是从官方购买正版程序,可是在百度上一搜索,盗版的比正版的还多。

不管你是否用正版还是盗版,为了你的站都看一看

根目录下存在sysconfig.asp文件的朋友注意:

过几天,一位网友加我QQ,说想要我这个程序,并提醒我说我的网站有漏洞,http://www.jdd9.cn/sysconfig.asp金点点信息网),可以任何修改我的网站基本资料。我一打开果然是这样

打开http://www.jdd9.cn/sysconfig.asp一看,竟然没过滤管理员登陆,而且这本来是应该在管理目录下的,却确实在当前目录下了,我遂将文件内容删除。

根目录下存在const.asp文件的朋友注意:

这是一个根本没有任何用处的文件,记事本打开,你会发现前面几行是乱码,后面是一些什么管理,查看磁盘的,这是一个ASP木马,他可以完全控制你的站,上传,下载,修改,删除,你网站上所有文件。如果服务器安全不足,通过提权可以直接控制你的服务器。

根目录下存在zfb.asp、zfbsm.asp、gozfb.asp文件的朋友请注意:

这可能是官方最新开发的时候用的支付宝控件,也可能是从别的源码复制过来的时候忘记删除了,这三个文件是支持支付宝控件的,如果站里根本没用到支付宝的朋友,可以把这个删除,如果用到的,也需要自己修改加入。我的网站也是存在这几个文件的,http://www.jdd9.cn/zfb.asp,不过现在我已经删除了。

根目录下存在edit文件夹的朋友注意:(正版用户也需要修改)

进入你的网址\edit\admin,帐号密码都是admin,修改一下,顺便说一下,这个版本是存在漏洞的,很多网站可能都有被挂马的现象,尽快这个程序升级(官方的应该是没升级的)。这是新云软件开发的一个组件,免费的,网址是:http://www.ewebsoft.com/,下载最新版本替换。另言之:其实这个是不需要放在根目录下的,是放在管理员目录下的。(官方是放在根目录下的,这样会存在一定的风险,官方测试地址:http://www.jl-e.com/1/edit/editor.asp)结果显示并不是无法找到该页,而是一个空白页,也就是网页是存在的。同时后台的支付方式和关于我们也需要修改,否则不能正常使用了。例如:http://www.jdd9.cn/edit/editor.asp又或者http://www.jdd9.cn/edit/admin/就直接进入管理员了

根目录下存在delay.asp文件的朋友注意:

这个文件是管理网站广告的文件,应该在管理员目录下的,而且应该过滤session管理员是否登陆,不应该放在根目录下的,只要你存在这个文件,直接输入你的网址\delay.asp,就可以任意修改你的网站广告或挂网页木马。

根目录下存在include文件夹的朋友请注意:

看看相对应的是否正确,不然请删除,此文件夹没任何用处的,删除之前仔细看看,不要删错了,最好备份一下。

根目录下存在BBS文件夹并且BBS正在使用的朋友注意:

BBS目录下存在一个typenew.asp文件,这个是管理论坛的文件,最好改名或直接删除BBS文件夹。

官方版本也存在这个漏洞,测试地址:http://www.jl-e.com/1/bbs/typenew.asp(也许官方看到不到几天就会改掉了)。

不管你是不是使用正版或者盗版程序的都请注意:

后台管理员文件夹不要让别人知道,不然你的网站就彻底完了,因为管理文件夹下,有N个文件没有过滤,太多了,我只记得几个,例一下我知道的:

admininfo.asp、admininfochk.asp、admintitle.asp、admintitlechk.asp、bm.asp、CheckPass.asp、dushi114.asp、pay_add.asp、pay_save.asp,这些是我记得的。大家使用吉林信息网程序的朋友,都仔细检查一下,过滤一下。

新增和完善的功能:

我修改这个程序花了两天时间,这两天之中,不断被挂马,不知道是程序本身存在漏洞还是官方对我用盗版的惩罚......

1、修正完善了已知的所有漏洞

2、修正了社区论坛管理,重新整合新的BBS无漏洞论坛,并和后台管理整理合在一起

3、修正了后台管理不能控制未注册用户发布信息需要审合的bug

4、修正了会员发布信息时上传图片位置显示的bug

5、修正了edit文件存在的漏洞并更新

6、修正了木马利用洞漏,修正上传文件的漏洞

7、升级了关于我们和支付方式的编辑控件

8、修正了留言系统一句话木马的插入

9、修正了不能审核信息的功能

10、新增数据库管理功能

11、升级了服务器信息探测功能

12、修正了后台管理退出时不能完全退出BUG

13、新增后台可添加普通管理员,新增的普通管理员可以自定义普通管理员的权限

14、修改了数据库中的bug,并新增了几个表名,配合新增功能使用

15、网页后台美工,前台代码精减,并做了简单的SEO优化,可以让自己的网站更容易的被搜索引擎搜索到

16、加入了在线QQ客服功能

17、增加网站地图功能,更容易让搜索引擎搜索到你的网站

更多小东西小技巧购买之后自己看吧

美工好累,修改好烦琐,因为我已经用上了,不然我就用临沂市场网的核心重新写一套了。所以如果看了之后觉得有必要的就购买,价格300元一套,帮你修改所有已知漏洞的150元,修正后的程序无限制,绝无后门,无BUG,功能比较完善。因为我自己也是使用这个程序,我觉得哪里需要修改升级的,会帮你们也升级,购买了的朋友也可以给我提意见,哪里需要修改需要升级,觉得适合就会升级。我和你们在同一条船上,我才会更专心的去对这个程序进行完美,本人也决定对这套程序一直升级。

每天加我QQ的人太多,不购买也没关系,我并不是为了钱才说出来的。你自己可以修改我说出的这些地方,哪里会再有问题,我会再在我的百度空间里发布(http://hi.baidu.com/湖南金点点)需要购买的朋友再联系我QQ吧:418938000(注明消息:购买吉林信息网修正版)

欢迎大家光临我的站:http://www.jdd9.cn(金点点信息网、金点点)

本人出于好心提醒,在可能有漏洞的网站提醒,希望站长能看到这篇文章,绝对没有恶意修改的嫌疑,请各位站长看到这篇文章不要生气.你想想,如果是一个别有用心的人看到这篇文章,知道你的网站的漏洞,而你又没有及时补上这个漏洞,那你网站还安全吗,并不是象现在这样的只是简单的留下解决方法的网址,可能在你网站上挂马,把你网站全部删除等等.如有作法不当,请见谅吧...

如果觉得我分析的有道理,正确,你是受害者,在此文章下作评论吧.让更多的人知道这个程序并不完善,让更多的受害者有发泄的地方



还有一点,就是这个从官方购买的原装正版程序(原价300元)便宜卖(现价50元),有要的找我(QQ:418938000)
分享到:  QQ好友和群QQ好友和群 QQ空间QQ空间 腾讯微博腾讯微博 腾讯朋友腾讯朋友
收藏收藏 分享分享
您需要登录后才可以回帖 登录 | 会员注册

本版积分规则

锦尚中国源码论坛

聚合标签|锦尚中国,为中国网站设计添动力 ( 鲁ICP备09033200号 ) |网站地图

GMT+8, 2024-11-22 03:38 , Processed in 0.149972 second(s), 31 queries .

带宽由 锦尚数据 提供 专业的数据中心

© 锦尚中国源码论坛 52jscn Inc. 非法入侵必将受到法律制裁 法律顾问:IT法律网 & 褚福省律师 锦尚爱心 版权申诉 版权与免责声明