Joomla!实验场

详细解释Joomla 1.5.6的安全漏洞

注意,将在新窗口中打开。 PDF打印E-mail

LAST_UPDATED2 作者:administrator2 周三, 18 2月 2009 09:40

我看了很多网上上说的,都看不太明白,我装的是Joomla 1.5.2的版本,一定要升级到1.5.6吗?
提问者: luna.dai
最佳答案
 
也可以不升级的有安全漏洞的代码位于components/com_usermodelsreset.php文件中的第116行:
$db->setQuery('SELECT id FROM #__users WHERE block = 0 AND activation = '.$db->Quote($token)); 
当$token的值为空时(Joomla会对用户的输入值进行过滤,把‘之类的输入过滤掉),该SQL就变成:
SELECT id FROM #_users WHERE block = 0 AND activation = '';  
在后续的操作中就会取得默认排序的第一条记录,通常情况下就是系统管理员Administrator,这样hacker
就可以修改管理员的密码了。 解决这个问题除了升级以外还有两种方法:
1 修改 components/com_usermodelsreset.php文件,在$mainframe后面添加以下代码:
if(strlen($token) != 32) {
$this->setError(JText::_('INVALID_TOKEN'));
return false;
}
这样可以从长度上保证是系统的token。

2 修改ID最小的用户(管理员)的用户名为一个非常难猜的名字,比如1jk34k34jk4j5k45j4k5j,
并且添加一个新的用户作为管理员,以后就用这个新用户登录管理界面,这样即使hacker重置了
老的管理员的密码,也会因为不知道用户名所以无法登陆。

 

joomla被黑及升级

注意,将在新窗口中打开。 PDF打印E-mail

LAST_UPDATED2 作者:Administrator 周二, 17 2月 2009 01:44

 

 

joomla沙盘前段时间被黑掉了,黑客估计是通过什么漏洞进来了,也不知道是joomla的漏洞还是我服务器上被放了什么东东,数据库都被改了。这位hacker_bbr#yahoo.com大哥别再来了啊。。。汗~~

 我今天把这个joomla从1.53升级到1.59了。

 

 

测试文章2

注意,将在新窗口中打开。 PDF打印E-mail

LAST_UPDATED2 作者:Administrator 周一, 16 6月 2008 08:05

测试2

作者权限:主编

   

Joomla!教程(nupt)

注意,将在新窗口中打开。 PDF打印E-mail

LAST_UPDATED2 作者:Administrator 周一, 16 6月 2008 06:32

nupt的系列Joomla!教程,很不错,还有视频,大家可学习。推荐!

http://www.nupt.org.cn/103

由于这上半个学期的课实在是太多,基本上Soz的Google Reader上面的信息已经泛滥了。虽然看得文章挺多,但是好像是没有什么要写的了。可能到了写搏的一个低潮期。

前面说过,Joomla,Drupal,WordPress是Soz很喜欢的3个基于PHP+MySQL开发的开源程序。

于是,就干脆写一篇系列文章好了。想来想去,就写Joomla好了。因为我之前学习Joomla,在网上找资料还是挺辛苦的,因为网上的中文文档还是比较少的。最近,Joomla又释出了1.5版的。所以,干脆Soz就重头到尾的写一下 Joomla1.5 好了。

为此,Soz特地的开设了Joomla分类,喜欢到时候能成为一篇系列文章,并且能够帮助到你:D

目前,Soz的Joomla教程大概安排如下(使用的是Joomla1.5版本)

  1. 什么是Joomla,Joomla的历史
  2. Joomla介绍
  3. 安装Joomla所需的环境
  4. 安装Joomla
  5. Joomla用户管理
  6. Joomla媒体管理
  7. Joomla全局设置
  8. Joomla菜单管理
  9. Joomla单元管理
  10. Joomla分类管理
  11. Joomla文章管理
  12. Joomla广告管理
  13. Joomla联系管理
  14. Joomla RSS管理
  15. Joomla投票管理
  16. Joomla友情链接
  17. Joomla模块管理
  18. Joomla插件管理
  19. Joomla模板管理
  20. Joomla语言管理
  21. Joomla站内消息
  22. Joomla系统管理

 

上面的清单就是根据后台的功能所列出来的,基本上就是按照这个清单来写了,如果你对Joolma有兴趣,那请你不妨订阅Soz的博客 :D

来自听者有心

 

本站说明

注意,将在新窗口中打开。 PDF打印E-mail

LAST_UPDATED2 作者:Administrator 周五, 13 6月 2008 03:01

http://joomla.mxay.com/ 是为了学习Joomla!而搭建的,现在没打算放什么内容,仅仅是测试用。
   

页 1 总共 2