【已回应】防跨站攻击似乎不起作用，为何？

众所周知前些天ThinkPHP连报两个严重漏洞，去服务器看了看，发现一个站点下有PHP木马。

我访问了以后发现，这个木马带的文件管理器可以跨站，案例说.user.ini不是已经禁止跨站了吗，不起作用？

如下图，整个服务器的文件全能访问呢哈哈，这么强大的吗？放跨站为何不生效？

宝塔技术-小强 · 发表于 2019-1-22 14:48:36

对于你这个问题。
如下测试：
TIM图片20190122144505.png

开启放跨站之后。传一个Shell

TIM图片20190122144552.png

可以访问主目录。尝试访问上一层目录
TIM图片20190122144615.png

为空白。表示没有权限访问

访问tmp
TIM图片20190122144643.png

说明。防御跨站的规则很起作用。

并且看你图片，能显示www 用户的uid  和gid  猜测你的php 有执行命令的权限。关于你的为什么没有起作用。

如下：
1.  开启之后是需要重启PHP 的。

2. 可能你删除了那个user.ini 文件

宝塔技术-小强 · 发表于 2019-1-22 14:57:58

有漏洞就安心修洞。我们不是漏洞的生产者。只是防御的搬运工

Talent.M · 发表于 2019-1-22 16:30:11

宝塔技术-小强发表于 2019-1-22 14:48
对于你这个问题。
如下测试：

我的user.ini确实存在。
至于php开启执行命令的权限我记得我好像没开启过，
我刚才想去看看php.ini 怎么软件管理 php后面的设置按钮点了没反应呢？

Talent.M · 发表于 2019-1-22 16:36:52

宝塔技术-小强发表于 2019-1-22 14:48
对于你这个问题。
如下测试：

升级到6.8.8 可以设置php了，我看了禁用函数里 shell_exec 啥的都禁止着呢
能帮我看看吗。

宝塔技术-小强 · 发表于 2019-1-22 17:19:18

删除重新点击开启。然后重启PHP 就行了。

Talent.M · 发表于 2019-1-23 11:57:57

宝塔技术-小强发表于 2019-1-22 17:19
删除重新点击开启。然后重启PHP 就行了。

经过阿良的测试，是因为站点是ThinkPHP5开发的，运行目录不在根目录，需要把.user.ini移动到public目录才可以生效。

还是感谢回答。

痞子哥 · 发表于 2019-1-24 21:22:41

本帖最后由痞子哥于 2019-5-7 13:57 编辑

原来thinkphp是要把user.ini移动到public目录才行

SevenTT · 发表于 2020-5-1 22:50:28

宝塔技术-小强发表于 2019-1-22 14:48
对于你这个问题。
如下测试：

这个是什么工具，能告知吗？我测试下自己服务器上的网站是否有漏洞