无论任何版本的宝塔,或者是企业版防火墙,默认均无法拦截。
普通用户(不花钱买各种安全防护插件)可通过安装PHP扩展bt_safe解决
跨站方法:用蚁剑直接连就行,如果防火墙拦截,编码数据即可
场景:某宝塔虚拟主机
过程:购买个产品之后进入虚拟主机管理面板,上传一句话,直接连接,如果不行的话可以关闭自带防火墙。
已测试网站:昔年host 阿乐云 果果互联 宝塔互联 小鹿云计算 a152
已造成严重后果的:a152,我一个朋友的,直接让我拿到宝塔api密匙,删库跑路
或者通过非法手段拿到网站SHELL也可以跨站
另外
宝塔后台主页的页脚里CSS的position属性的值应该是fixed,不然窄屏不适应
|
|