在XiaoUn那里得知网上流传一个叫"L-BLOG漏洞专用利用工具的软件,这个软件会自动注册,导致LBLOG内生成如4Y4w_8B5u_6R6k的注册用户,然后利用LBLOG上传漏洞上传一个ASP木马到BLOG站点上.我下载了一个试用了一下,发现这软件自动化程度非常高.可以轻易破坏别人辛苦建立的BLOG.
下图是我测试我自己的BLOG的截图,发现LBS用户没有受这个L-BLOG漏洞专用利用工具的影响.我顺便测试了moneywood的木乐阁,他的BLOG也是LBS,也没有发现漏洞.最近我的BLOG中的大量随机用户名原来就是这个软件生成的.看来,在此之前,已经有不止一位朋友帮我测试过了.不知为什么,竟然要测试也不通知一下,测试结果也不告诉我. [cry]
这款软件还有哪里能下到,我也想测试一下
做案工具就要写得那么详尽了吧,Guo公布了这个工具就是前车之鉴~ [sweat]
TO david:这款工具很多地方曾提供下载,自己耐心找吧..我也忘了哪个链接是有效的了.这款工具只针对LOVEYUKI维护的LBLOG1.08以下版本,对SIC改过的LBS无效.
TO loson:对于漏洞,公布还是不公布,仁者见仁,智者见智.通常的作法是先通知开发者,开发者提供了补丁后才能公布.
GUO同学公布的站外提交修改日志的工具是完全善意而无破坏性的,这个"LBLOG漏洞专用利用工具就有点破坏性了.
在我看来,鸡蛋有缝并不是苍蝇的错,与其对破坏者责备,不如向开发者求全.
谢谢免费的安全顾问:)
我从来就不怕这些什么漏洞
因为我有每写完一篇blog,就下载数据库备份的习惯。 [wink]
我从来就不怕这些什么漏洞
因为我有每写完一篇blog,就下载数据库备份的习惯。
我是天天备份,理论来讲,没有一台主机是安全的。
[cool]有人测试才好啊,这不更早知道漏洞了么.
我从来就不怕这些什么漏洞
因为我有每写完一篇blog,就下载数据库备份的习惯。
我和moneywood的习惯一样,嘿嘿,数据备份第一 [lol]
我的站点里没什么秘密,我也不怕漏洞:) [lol]
备份到本地,在furl上备份… [lol]
GMAIL有6个邀请了。因为BLOG暂时没开业没办法发在BLOG里面。。。
需要的发邮件到oldcpu#gmail.com [confused]
笑,我想换ZOLA现在用的这个系统呢,但是我对改数据库一窍不通。
于是就懒着,丢着,由它去了。