ยินดีต้อนรับคุณ, บุคคลทั่วไป กรุณา เข้าสู่ระบบ หรือ ลงทะเบียน

เข้าสู่ระบบด้วยชื่อผู้ใช้ รหัสผ่าน และระยะเวลาในเซสชั่น
ThaiSEOBoard.comพัฒนาเว็บไซต์Programming MaxSite Security Patch Update 2019 - ช่องโหว่มีตรงไหนมาแชร์กันครับ
« หน้าที่แล้ว ต่อไป »
หน้า: [1]   ลงล่าง
พิมพ์
ผู้เขียน หัวข้อ: MaxSite Security Patch Update 2019 - ช่องโหว่มีตรงไหนมาแชร์กันครับ  (อ่าน 1899 ครั้ง)
0 สมาชิก และ 1 บุคคลทั่วไป กำลังดูหัวข้อนี้
mean
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 121
ออฟไลน์ ออฟไลน์

กระทู้: 1,009



ดูรายละเอียด เว็บไซต์
« เมื่อ: 21 กันยายน 2019, 16:16:21 »
สวัสดีครับ

ล่าสุดที่มี maxsite เว็บหน่วยงานต่างๆ ถูก hack มีท่านใด ตามแกะบ้างไหมครับ
ว่าช่องโหว่มากจากที่ได้ ผมจะได้นำไป patch และอัพลง github ต่อไปครับ

#Fix 1 Create file /public_html/data/.htaccess
อ้างถึง
Deny from all
<Files ~ "^\w.+(.gif|.jpe?g|.png)$">
order deny,allow
allow from all
</Files>

#Fix 2 SQL Injection (edit file /public_html/.htaccess)
อ้างถึง
RewriteEngine on

RedirectMatch 403 /(attach|backup|data|icon|UserFiles|video|webboard_upload|images)/.*.(php|html|htm|js|htaccess)$

AddDefaultCharset UTF-8


RewriteCond %{QUERY_STRING} base64_(en|de)code[^(]*\([^)]*\) [NC,OR]
RewriteCond %{QUERY_STRING} (;|<|>|'|"|\)|%0A|%0D|%22|%27|%3C|%3E|%00).*(/\*|union|select|insert|drop|delete|update|cast|create|char|convert|alter|declare|order|script|set|md5|benchmark|encode) [NC,OR]
RewriteRule ^(.*)$ - [F,L]

<Files *.php>
    Order Deny,Allow
    Deny from all
    Allow from 127.0.0.1
</Files>

<Files  ~ "(index.php|val_img.php)">
    Order Allow,Deny
    Allow from all
</Files>



ขอบคุณครับ
« แก้ไขครั้งสุดท้าย: 21 กันยายน 2019, 17:34:28 โดย mean » บันทึกการเข้า


บริการโดเมน, เว็บโฮสติ้ง, SSL Certificate
บริการ SSL Certificate , HTTPS สำหรับเว็บไซต์
บริการ Web Hosting Free! Domain name ตลอดอายุบริการ
บริการ จดโดเมน, Free DNS Service, Domain Forwarding, จัดการโดเมนได้เอง Domain Control Panel[/direct
smapan
Global Moderator
เจ้าพ่อบอร์ดเสียว
*****

พลังน้ำใจ: 643
ออฟไลน์ ออฟไลน์

กระทู้: 8,272



ดูรายละเอียด เว็บไซต์
« ตอบ #1 เมื่อ: 21 กันยายน 2019, 21:09:26 »
โค๊ด:
# protect from sql injection
Options +FollowSymLinks

RewriteEngine On

RewriteCond %{QUERY_STRING} (\<|%3C).*script.*(\>|%3E) [NC,OR]

RewriteCond %{QUERY_STRING} GLOBALS(=|\[|\%[0-9A-Z]{0,2}) [OR]

RewriteCond %{QUERY_STRING} _REQUEST(=|\[|\%[0-9A-Z]{0,2})

RewriteRule ^(.*)$ index.php [F,L]
บันทึกการเข้า
จูมล่าโฮส สยามโฮสเว็บ modty.com
รวมที่พัก เช่ารายวัน ที่พักเช่ารายเดือนมากที่สุดแจ่มจริง
***Tel 083-757-1515 ติดปัญหา Joomla ตรงไหนรับปรึกษาฟรี โทรมาเถอะครับ ถ้าตอบได้ช่วยแน่นอน ไม่มีกั้ก. ***
shaobi
คนรักเสียว
*

พลังน้ำใจ: 4
ออฟไลน์ ออฟไลน์

กระทู้: 104



ดูรายละเอียด
« ตอบ #2 เมื่อ: 21 กันยายน 2019, 23:45:25 »
maxsite ตำนานเว็บสำเร็จรูป
บันทึกการเข้า
freetukyang
หัวหน้าแก๊งเสียว
*

พลังน้ำใจ: 69
ออฟไลน์ ออฟไลน์

กระทู้: 1,566



ดูรายละเอียด เว็บไซต์
« ตอบ #3 เมื่อ: 22 กันยายน 2019, 10:23:06 »
แต่ก่อนเลยเล่นอยู่พักหนึ่งชอบมากครับ แต่งสวยระบบโอเค
บันทึกการเข้า
Womans from your city
หน้า: [1]   ขึ้นบน
พิมพ์
« หน้าที่แล้ว ต่อไป »
กระโดดไป: