此文之所以归类于“入侵辅助”,主要是本大王觉得Zblog的后台太他妈的操蛋了。只要你能搞到管理员密码,你想干什么没人能阻拦。
一般说到Zblog的安全配置,无非是以下几点:
1、账号密码安全
账号:随意发挥,比如“白银时代”
密码:建议用数字+字母8位以上密码。
2、数据库安全设置
更改数据库默认名称,一般在安装时自动改更
更改数据库默认路径
更改文件:c_custom
Const ZC_DATABASE_PATH="data/zblog.mdb"
3、后台安全
登录后台:login.asp 改成其它名称。
4、目录权限设置
因为涉及到IIS或者空间面板管理,所以不实用,请自行搜索。
上面说的几点都是网上流传的,也不是什么很难理解的东西,不详说了。本大王今天带给大家的是一种另类的方法。即使是你能拿到密码你也无法登陆或者进行文件操作。
先上一张经过处理的后台登陆的效果图:
看见验证码那个地方了麽?
嘿嘿,即使你能拿到密码又如何,我看你怎么登陆后台。
其实实现起来很简单:
你先登录后台,然后进入“网站设置管理”“页面设置”“验证码图片中允许出现的字符”
在其中输入一个特殊字符。记住,是一个字符!!!你要是输多了自己都进不去后台你不要来找我。
然后在你以后登录的时候输入5个你所知道的那个字符就可以登录了。不要局限于“@”,也可以是“,”“!”“#”“?”“%”“~”“。”一类的,总之大家发挥自己的想象力吧。
下面来说第二点:去除z-blog 后台文件管理功能。
最让本大王恼火的就是这个功能了,直接在后台就能处理文件,可以编辑和删除你网站目录下的所有的文件。这个功能太操蛋了。想不通作者是怎么考虑的。
打开目录下的cmd.asp文件,将其中的Call SiteFileMng()、Call SiteFileEdt()、Call SiteFilePst()、Call SiteFileDel()这四行删除,你要是怕出错的话注释掉也可以。
如图:
然后,打开 FUNCTION 下面的 c_system_base.asp文件,将以下几行修改为无权限:
Case "SiteFileMng"
GetRights=0
Case "SiteFileEdt"
GetRights=0
Case "SiteFilePst"
GetRights=0
Case "SiteFileDel"
GetRights=0
把Getright =后的1 改为0.
如图:
最后是修改后台菜单界面,打开在admin 下的admin_left.asp,
将第66行删除,如图:
至此我们的Zblog另类安全设置就完成了。