zihaow

使用zblog已半年有余，感觉zblog真的不错，静态页可以有效的减轻服务器的压力，关于zblog的安全性问题，
本人提出几点，仅供参考！

1.zblog数据库，这是重点防区，本人防治方法，修改数据库目录名及数据库文件名，改为.asp后缀的无规律md5码文件名。
有些虚拟主机可以设置文件保护，可以将数据库文件设置保护。
（注意：如果你使用的是万网的虚拟主机，数据库名一定要改成.mdb文件，应该万网已做过特殊处理，假如改成.asp文件反而可以被下载，本人亲自测试过）

2.管理帐号，可以建2个帐号，一个为管理员（高级管理之用），用户名密码自定义，一个为高级用户（日常维护之用），用户名密码自定义，用户名不要为admin，可以使用Accesscheck修改用户名,密码建议使用md5码，自己随机生成。

3.防止用户名泄露，修改b_article-multi.html和b_article-single.html文件，找到 <#ZC_MSG011#>:<#article/author/name#>
字段，将其中的<#article/author/name#>修改为任意名字，如”管理员“。此做法可以防止某些工具获知用户名后暴力猜测。

4.如果你不使用上传功能，建议删除相关上传组件。由于本人比较菜，找不到上传组件文件，请斑竹告知，谢谢！

[ 本帖最后由 zihaow 于 2007-5-26 17:42 编辑 ]

Zx.MYS

。。。。。。。。。。。。。。。。。。。。。。。。。。

zihaow

引用:

原帖由 Zx.MYS 于 2007-5-26 17:27 发表
。。。。。。。。。。。。。。。。。。。。。。。。。。

斑竹大人，请问如何删除上传组件呢 ，具体是哪个文件？

谢谢！

washun

虚拟主机不是万能的 总有出错的时候  经常注意备份数据库  即使下载了数据库又有什么价值呢

Zx.MYS

回答你一下吧
1：你这样只改成.asp后缀不修改数据库内容简直是找死，用FLASHGET下载你那个.asp文件试试？
2：密码改成md5完全没必要，与其记忆一个BT的密码（别告诉我用浏览器存或者存到一个什么文件里去），还不如修改出一个密码尝试限制。再说Z-BLOG登录是有验证码的。
3：用户名泄露以后……参加第2条最后一句。
4：上传组件，可视编辑器已经删除了，Z-BLOG的上传部分会检查权限。硬要删可以删除function/c_system_event.asp 165到168行的

复制内容到剪贴板

代码:

        Response.Write "<form border=""1"" name=""edit"" id=""edit"" method=""post"" enctype=""multipart/form-data"" action="""& ZC_BLOG_HOST &"cmd.asp?act=FileUpload&reload=1"">"
        Response.Write "<p>"& ZC_MSG108 &": </p>"
        Response.Write "<p><input type=""checkbox"" onclick='if(this.checked==true){document.getElementById(""edit"").action=document.getElementById(""edit"").action+""&autoname=1"";}else{document.getElementById(""edit"").action="""& ZC_BLOG_HOST &"cmd.asp?act=FileUpload&reload=1"";}' id=""chkAutoName"" id=""chkAutoName""/><label for=""chkAutoName"">"& ZC_MSG131 &"</label></p>"
        Response.Write "<p><input type=""file"" id=""edtFileLoad"" name=""edtFileLoad"" size=""20"">  <input type=""submit"" class=""button"" value="""& ZC_MSG087 &""" name=""B1"" onclick='document.getElementById(""edit"").action=document.getElementById(""edit"").action+""&filename=""+escape(edtFileLoad.value)' /> <input class=""button"" type=""reset"" value="""& ZC_MSG088 &""" name=""B2"" /></p></form>"

以及85到152行的

复制内容到剪贴板

代码:

Function UploadFile(bolAutoName,bolReload)
……
End Function

以及FUNCTION/c_system_lib.asp 2787行到3013行

复制内容到剪贴板

代码:

'*********************************************************
' 目的：    定义TUpLoadFile类
' 输入：    无
' 返回：    无
'*********************************************************
Class TUpLoadFile
……
End Class
'*********************************************************

基本上就行了。
EXTRA:
5:Accesscheck这个程序有什么用？没看出来……连接数据库部分的ADO好像是需要Access支持的，但是既然有了Access，要他干嘛？这玩意还要自己打SQL，麻烦。

[ 本帖最后由 Zx.MYS 于 2007-5-27 01:23 编辑 ]

xmasfox

引用:

原帖由 washun 于 2007-5-26 18:59 发表
虚拟主机不是万能的 总有出错的时候  经常注意备份数据库  即使下载了数据库又有什么价值呢

数据库没有价值？你blog帐号密码没有丢在数据库里面。人家通过你帐号密码进入你后台。虽然找个文件加个asp木马。挂个马。;P

tsmlyf

我的密码保管用CracKMD5跑几个月都不会跑出来。

skyforever

密码尝试限制加个业不错的说，^_^

zihaow

引用:

原帖由 skyforever 于 2007-5-27 18:21 发表
密码尝试限制加个业不错的说，^_^

是的，如果可以加个密码3次错误，锁定登陆60分钟就好了！