关于SQL注入的监测
网站被挂马,有一个方式就是对某个帐号进行提权操作,比如针对非管理用户提权至最高管理员的权限。
事后可以发现被提权的用户帐号,但检查经由哪个文件注入的是个麻烦的事情,特别是针对开源的文件结构比较复杂的程序来说。
以前有个思路,一直未实现,今天处理了一个,是针对Discuz!5.5(很老的一个版本了^^)的,处理思路就是事后诸葛亮。
DBCheck build 20080425发布!
之前给客户做的一个小工具,自Discuz!3.1.2以来一直有人使用,因此一直不断得随着Discuz!更新而更新。
本次Discuz!升级到了6.1.0,因此,DBCheck的数据基准校验包(db_pack.php)也随之升级了。
功能上没时间做新的扩展——而且目前觉得也没太大必要,呵呵,这个工具几乎就是一次性的,大家都是为了查看自己的数据结构是否有问题,检查完之后也就不用了^_^
下载地址还是在“深海(Deepseath)Discuz!风格演示论坛”:http://www.exinqing.net/discuz/viewthread.php?tid=172
至于模板MSNCool过几天再弄,近期事情实在太多了,手里的项目还在继续赶:(
忙过这阵好好弄一下:)
