沉梦云商城安全方案!避免文件上传漏洞
此文章主要针对使用沉梦旗下程序的大站,小站也没人搞你仅建议哈!
本旗下沉梦云商城程序默认的文件上传虽然已经很安全了
但内行人会知道,所有的程序只是把文件上传到本地不限制文件权限是不能百分百安全的
当然,最安全的方式就是禁止上传,但是由于实际需求是没办法的事情
这里给大家给出二个方案
一.FTP模式文件上传
1.文件漏洞无非就是上传一个动态可执行文件(包括伪装文件)到网站目录下,就可以达到入侵网站的目的!!如果禁止上传的文件动态执行就可以封堵漏洞,这里的ftp模式就是利用一个纯静态网站,把客户的图片文件统统上传到此网站,无论你的文件伪装有多么牛逼,都是没办法入侵网站的
2.此模式已经内置,有条件的可以进去主站设置-文件上传设置按照教程配置即可
二.宝塔规则
1.此方法利用宝塔的规则封堵文件上传漏洞
2.将以下宝塔规则复制,粘贴到宝塔网站列表->设置->配置文件的指定位置
#宝塔安全规则开始 By 沉梦
#禁止在静态目录运行动态文件
location ~ ^/assets/(.*)\.(php|php3|php5|asp)
{
return 403;
}
#禁止下载压缩包
location ~ (.*)\.(zip|rar|7z|tar|gz)
{
return 403;
}
#宝塔安全规则 end
3.复制完毕后,找到配置文件中类似下方的代码,一般在顶部下滑一点即可
#PHP引用配置,可以注释或修改
include enable-php-71.conf;
4.将我给出的安全规则代码粘贴到第三步的代码前面,然后保存!注意粘贴前先回车空几行,避免报错
本次教程基本就到这里了,祝大家生意蒸蒸日上,赚大钱!
沉梦交流群:774270209,欢迎大家进来畅所欲言,交流技术,吹牛逼都可以哦~
注意,这里给出的方法不只是本旗下程序可以使用,基本上所有php或其他动态程序都可以借鉴使用