帝国论坛
→
帝国软件产品与服务
→
帝国备份王
→
关于阿里云盾【帝国备份王代码注入漏洞】误报回复贴
【本版专题贴子】
1
/
2
1
2
››
›|
主题:关于阿里云盾【帝国备份王代码注入漏洞】误报回复贴
[加入收藏夹]
pkkgu
用户头衔:探花
*
精华贴 :
2
发贴数 :1941
经验值 :6816
注册时间:2008-12-17
信息
搜索
好友
发送悄悄话
【
精益求精-帝国网站管理系统7.5正式版开源发布
】 [第
1
楼]
关于阿里云盾【帝国备份王代码注入漏洞】误报回复贴
漏洞名称:empirebak帝国备份王代码注入漏洞
补丁编号:4388506
补丁文件:/class/functions.php
补丁来源:云盾自研
更新时间:2016-04-25 15:10:34
漏洞描述:empirebak帝国备份王备份替换功能滥用导致黑客可向磁盘文件插入恶意代码
[该贴被修改
1
次,最后修改时间
2016-04-26 10:14:39
]
www.hz36.com帝国演示站
www.hz39.com帝国演示站
基于帝国ECMS6.6_公文签收系统
QQ:910111100
2016-04-26 09:41:06
已设置保密
顶部
回复
引用
报告
编辑
删除
帝兴
用户头衔:
管理员
精华贴 :0
发贴数 :1090
经验值 :14840
注册时间:2006-11-03
信息
搜索
好友
发送悄悄话
【
免费开源-EBMA系统:更安全的MYSQL管理和备份系统
】 [第
2
楼]
IDC误报,上面所说的
提前是必须能登录帝国备份王后台
,除非你将备份王后台登录地址、用户名、密码全部发给别人或泄露,否则不存在该安全问题。
新手帮助:
帝国CMS使用教程在线浏览
帝国CMS新手常见问题
2016-04-26 10:09:42
已设置保密
顶部
回复
引用
报告
编辑
删除
帝兴
用户头衔:
管理员
精华贴 :0
发贴数 :1090
经验值 :14840
注册时间:2006-11-03
信息
搜索
好友
发送悄悄话
【
精益求精-帝国网站管理系统7.5正式版开源发布
】 [第
3
楼]
特别提醒:安装帝国备份王后只要修改默认的管理员密码、默认的验证随机码,就能保证帝国备份王后台安全。
为防止部分用户偷懒,安装后都不修改默认密码,帝国备份王5.0版及以后安装后都将强制修改默认的管理员密码、默认的验证随机码。
其它之前已经回复过相关贴子,可以看这贴:
http://bbs.phome.net/showthread-9-344400-0.html
新手帮助:
帝国CMS使用教程在线浏览
帝国CMS新手常见问题
2016-04-26 10:27:38
已设置保密
顶部
回复
引用
报告
编辑
删除
html高手
用户头衔:探花
精华贴 :0
发贴数 :9114
经验值 :23336
注册时间:2008-02-23
信息
搜索
好友
发送悄悄话
【
免费开源-EBMA系统:更安全的MYSQL管理和备份系统
】 [第
4
楼]
要登陆帝国备份王后台才可以使用“替换目录文件”功能,都能登陆后台什么操作不危险?数据库啥的都有权限。
2016-04-26 10:40:47
已设置保密
顶部
回复
引用
报告
编辑
删除
cnnb
用户头衔:探花
精华贴 :0
发贴数 :5842
经验值 :16675
注册时间:2008-10-14
信息
搜索
好友
发送悄悄话
【
精益求精-帝国网站管理系统7.5正式版开源发布
】 [第
5
楼]
阿里恶搞啊
2016-04-28 08:15:29
已设置保密
顶部
回复
引用
报告
编辑
删除
pw8
用户头衔:探花
精华贴 :0
发贴数 :8790
经验值 :22584
注册时间:2008-10-10
信息
搜索
好友
发送悄悄话
【
免费开源-EBMA系统:更安全的MYSQL管理和备份系统
】 [第
6
楼]
顶下
2016-06-23 16:12:13
已设置保密
顶部
回复
引用
报告
编辑
删除
pw8
用户头衔:探花
精华贴 :0
发贴数 :8790
经验值 :22584
注册时间:2008-10-10
信息
搜索
好友
发送悄悄话
【
精益求精-帝国网站管理系统7.5正式版开源发布
】 [第
7
楼]
相当于小偷有你家的钥匙,想偷什么还不容易吗?前提是你得把钥匙给小偷,不给他也没有办法
[该贴被修改
1
次,最后修改时间
2016-06-23 16:22:01
]
2016-06-23 16:16:41
已设置保密
顶部
回复
引用
报告
编辑
删除
tc008
用户头衔:书生
精华贴 :0
发贴数 :5
经验值 :23
注册时间:2009-12-06
信息
搜索
好友
发送悄悄话
【
免费开源-EBMA系统:更安全的MYSQL管理和备份系统
】 [第
8
楼]
阿里7月份又发了一个提示:帝国备份王(empirebak)存在任意登录漏洞
https://help.aliyun.com/knowledge_detail/37459.html
是说那个“万能cookie伪造登陆”的问题吗?现在还存在吗?
(
http://www.myhack58.com/Article/html/3/62/2015/57961.htm
)
2017-01-10 11:04:43
已设置保密
顶部
回复
引用
报告
编辑
删除
tc008
用户头衔:书生
精华贴 :0
发贴数 :5
经验值 :23
注册时间:2009-12-06
信息
搜索
好友
发送悄悄话
【
精益求精-帝国网站管理系统7.5正式版开源发布
】 [第
9
楼]
PS:帝国有没有官方群?或者官方微信?
想实时关注一下帝国的消息
2017-01-10 11:06:11
已设置保密
顶部
回复
引用
报告
编辑
删除
html高手
用户头衔:探花
精华贴 :0
发贴数 :9114
经验值 :23336
注册时间:2008-02-23
信息
搜索
好友
发送悄悄话
【
免费开源-EBMA系统:更安全的MYSQL管理和备份系统
】 [第
10
楼]
不存在,要知道cookie前缀+验证随机码+用户名+密码等条件都同时满足才可以组合登录认证,除非你安装后不修改密码和验证随机码(5.0版以后安装后也是强制让修改,不修改都用不了帝国备份)
要知道服务器上的这些文件内容连服务器权限都该有了
[该贴被修改
1
次,最后修改时间
2017-01-10 11:20:14
]
2017-01-10 11:08:46
已设置保密
顶部
回复
引用
报告
编辑
删除
1
/
2
1
2
››
›|
快速回复
内容
表情
使用EBB代码
使用smile代码
显示签名
自动分析url
自动分析img
【
进入高级模式
】
(按 Ctrl+Enter 直接提交)
顶部
加入收藏夹
关于帝国
|
广告服务
|
联系我们
|
法律声明
|
隐私条款
|
许可协议
Powered by:
EBB
Version 2.2.1
顶部 
加入收藏夹
2016-04-26 09:41:06 
已设置保密
回复
引用
报告
编辑
删除
阿里恶搞啊