EMLOG漏洞防护方法(防Webshell、防篡改、防劫持、防SQL注入、防XSS攻击)

最新推荐文章于 2025-12-05 20:44:21 发布
原创 最新推荐文章于 2025-12-05 20:44:21 发布 · 1k 阅读 · 17 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#sql #xss #数据库

Emlog是一款基于 PHP+MySQL 的开源博客系统,以轻量、简洁、易用著称,适合个人博客和小型网站。其主要特点:

轻量高效:代码简洁,运行速度快,资源占用低。

易于使用:安装简单,后台操作直观,适合新手。

模板与插件:支持丰富的模板和插件,便于功能扩展和界面定制。

SEO友好:内置SEO优化功能,利于搜索引擎收录。

多用户支持:允许多用户共同管理博客。

数据备份:提供便捷的数据备份与恢复功能。

虽然Emlog非常优秀,但要提升Emlog的安全防护能力,仍然需要从防篡改、后台保护、Webshell防护、SQL注入攻击防护、XSS跨站脚本攻击防护等多方面部署防护策略。下面我们就手把手教你如何部署Emlog防护!

一、 文件防篡改保护

要提升防护能力,防篡改是必不可少的。对文件做篡改防护有两种方法:1、通过ACL策略实现   2、使用底层驱动实现

1、 通过ACL策略防篡改

防护思路:全站只给读取权限;再对部分目录开放写权限,并禁止这些目录执行PHP脚本。

Emlog需要开放写权限的目录有:/content/cache/、/content/uploadfile/、/content/backup/

/content/cache/:用于存放系统缓存文件和临时文件

/content/uploadfile/:用于存放上传图片

/content/backup/:用于存放备份文件

注意:这三个目录务必禁止执行PHP脚本。

这样设置以后,黑客就只能往这3个目录写入文件,由于禁止执行PHP脚本,即使黑客上传了webshell,也无法运行。

此方法设置较为复杂,需要很强

最低0.47元/天 解锁文章
Emlog index.php接口的存在SQL注入漏洞 附POC
nnn2188185的博客
04-08 181
微信公众号搜索:南风漏洞复现文库该文章 南风漏洞复现文库 公众号首发Emlog
使用开源技术实现网页防篡改
智明得一的博客
02-26 1813
网页防篡改采用服务器客户机模式,网页的所有修改都在服务器上完成,服务器不对客户提供WEB服务,外部不可直接访问,否则服务端被篡改无法防护
开源的网页防篡改监控工具推荐——WGCLOUD
tianshiyeben的专栏
04-20 5417
WGCLOUD是一款轻量高性能的分布式监控系统 "支持主机各种指标监控(cpu/温度,内存,磁盘容量/IO,硬盘smart监控,系统负载,网卡流量,硬件系统信息等),数据可视化,进程应用监控,大屏可视化展板,服务接口检测,DOCKER监控,公众看板,自动生成网络拓扑图,端口监控,日志文件监控,告警信息推送(默认邮件,可集成钉钉微信短信等),同时集成了WebTerminal堡垒机能力" 其中服务接口检测模块,可以监控网页是否被篡改,如果被篡改时候会报500错误代码,并进行告警 如下图是如何使用的截图
一种常见的网页防篡改方案
热门推荐
ilnature2008的博客
05-08 1万+
最近在工作中遇到某门户网站被非法篡改的问题,通过分析发现其web应用存在相关漏洞,结合业界一些防篡改商用产品,进行了如下防篡改方案设计:                                                                                                               防篡改示意图 图示中相关元素说
记一次开源软件的篡改
08-06 228
pandaseq是一款非常好用的序列拼接软件,项目传送:https://github.com/neufeld/pandaseq/ (编译安装前需要libtool-devel) 所谓科技服务和科研态度有的时候真的不统一, 在pandaseq拼接的时候,如果输出fastq文件,overlap部分,如果错配的话,质量值会变成1(软件认为不可靠碱基),这样的做法无可厚非的,而且个人觉得也是...
Penetration_Testing_POC-About 渗透测试有关的POC、EXP、脚本、提权、小工具等
weixin_46280935的博客
09-10 6527
Penetration_Testing_POC 搜集有关渗透测试中用到的POC、脚本、工具、文章等姿势分享,作为笔记吧,欢迎补充。 Penetration_Testing_POC 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone Web APP 提权辅助相关 PC tools-小工具集合 文章/书籍/教程相关 说明 请善用搜索[Ctrl+F]查找 IOT Device&Mobile Phone 天翼创维awifi路由器存在多处未授权访问漏
从面试题中学安全
Fly_鹏程万里
10-30 2378
根据 Github 上的面经总结的一些安全岗面试的基础知识,这些基础知识不仅要牢记,而且要熟练操作,分享给大家,共勉。 1.对Web安全的理解 我觉得 Web 安全首先得懂 Web、第三方内容、Web 前端框架、Web 服务器语言、Web 开发框架、Web 应用、Web容器、存储、操作系统等这些都要了解,然后较为常见且危害较大的,SQL 注入XSS 跨站、CSRF 跨站请求伪造等漏洞要熟练掌...
面试题个人总结(面经)
weixin_65582330的博客
03-03 1180
你好,我叫XXX,是今天面试初级蓝队的人员,我毕业于XXXX,专业为网络空间安全,我曾经在XXXXX实习过,有过大概一年左右的工作经验,还有过一定的护网经验,去年在奇安信厂商护过网,在监测岗(在流量传感器中监测告警信息和恶意流量,发攻击ip到封禁群里,通知每日的告警数量并整理),在专业上我熟悉基本的漏洞类型,如:SQL注入XSS、CSRF、SSRF、文件上传等漏洞,熟悉sqlmap,burpsuite,wireshark、msf、cs等渗透工具使用。它是一种过滤器,可以作为一个中间流来过滤其他的数据流。
从面试题中学Web安全
zhalang8324的博客
03-22 7846
转载自90sec根据 Github 上的面经总结的一些安全岗面试的基础知识,这些基础知识不仅要牢记,而且要熟练操作,分享给大家,共勉。如果有漏掉的大家可以留言或是联系作者补充,谢谢。1.对Web安全的理解我觉得 Web 安全首先得懂 Web、第三方内容、Web 前端框架、Web 服务器语言、Web 开发框架、Web 应用、Web容器、存储、操作系统等这些都要了解,然后较为常见且危害较大的,SQL ...
笔记,后期整理
weixin_30278237的博客
08-06 1万+
VM 虚拟各种系统的工具 安装目录 不要放在C盘 需要下载的镜像Windows NT win7 xp server08R2 server12类Nnix centos 6/7/8 ubuntu 14/16/18 kali安装 win7 1g=1024M1M=1024KB1KB=1024bit1bit 是一个字节 一个字节就是8位由0或者1组成(二进制) 10 进制0-9组成的数字...
代码审计:emlog SQL注入漏洞(CNVD-2018-26200)
gj204106的博客
09-17 1139
注:参考小迪课程所写:emlog v6.0.0后台co***.php页面存在SQL注入漏洞攻击者可利用该漏洞执行非法sql命令操作数据库敏感文件。
Emlog修复后台编辑器存储型XSS漏洞方法
DYBOY-程序开发&网络安全
03-03 1225
以前DYBOY就发布过关于Emlog6.0的代码审计文章,其中就有分析道emlog文章编辑器的XSS漏洞,如果有些含有会员系统的EMLOG网站,就可能会遭到此漏洞攻击,严重可导致盗取管理员cookie,最后网站被黑客入侵拿下webshell。 当然,我这里不会教大家如何去入侵,而是讲一讲如何EMLOG的编辑器XSS攻击。关于XSS漏洞的原理,暂时也不讲了,感兴趣的可以去我的博客:DYBO...
EMLOG漏洞 | 针对emlog友情链接插件审计出的SQL注入漏洞
DYBOY-程序开发&网络安全
06-02 1848
这其实不能算是emlog 系统的漏洞,这问题主要是出现在开发者身上。由于作者在写代码的时候没有注意到过滤参数,因此而引发了SQL注入漏洞,望大家有安装过或类似的插件,请及时更新,本文章最后会提供修复版的插件! 0x01 Emlog友情链接自助插件 这款插件主要是为了减轻站长审核友情链接的压力,通过申请者自己填写表单的方式提交申请,后端检查对方网站是否添加本站的链接从,如果存在,则向数...
NineData社区版V4.7.0发布!新增MySQL至TiDB等6条数据复制对比链路,SQL窗口新增谷歌云6种数据源类型
云原生智能数据管理平台
12-05 680
NineData社区版V4.7.0正式发布,新增6条数据复制链路(包括MySQL至OceanBase/TiDB等5条跨源链路和1条同构链路),均支持全流程数据同步与对比功能。同时新增6种谷歌云数据源支持,优化了MongoDB内网复制和MySQL XA事务性能。该版本现已支持27种数据库迁移链路,提供包括SQL审核、结构设计等企业级DevOps能力。作为免费开源工具,NineData社区版支持Docker快速部署,具备高性能CDC同步技术,适用于数据库迁移、容灾、ETL等场景,5-10分钟即可完成安装体验。
使用 Qt 插件和 SQLCipher 实现 SQLite 数据库加密与解密
2509_94104266的博客
12-01 1002
SQLCipher是一个开源的扩展,提供了透明的 AES-256 加密功能,使得 SQLite 数据库文件的内容能够被加密和解密。通过将 SQLCipher 与 Qt 结合使用,开发者可以轻松地在 Qt 应用中实现数据加密,确保敏感信息的安全性。在实际应用中,建议进一步优化密码管理机制,避免将密码硬编码在代码中,可以考虑使用更安全的存储方式。此外,根据具体需求,您还可以探索 SQLCipher 提供的更多高级功能,如动态更改密码、密钥派生等。
【Flink】-- Flink SQL JOIN 完整指南:从入门到精通
欢迎来到我的博客,一起探索代码里的世界!
12-05 23
Flink SQL 流式 JOIN 实践指南 摘要:本文详细介绍了 Flink SQL 中 5 种流式 JOIN 类型的特点与适用场景。RegularJoin 通用但需设置状态 TTL;IntervalJoin 适合时间窗口关联但仅支持 Append-only 流;TemporalJoin 用于版本表关联;LookupJoin 查询外部系统;LateralJoin 调用表值函数。最佳实践包括:根据业务选择 JOIN 类型、合理设置状态 TTL、优化 JOIN 顺序(低频表在前)、监控状态大小。关键要点:Ch
提升文本转SQL(Text-to-SQL)精准度的实践指南
这里是一位在代码世界深耕多年的 “老江湖” 的自留地。​ 岁月在履历上添了厚度,却没磨掉敲代码时眼里的光。从调试第一行 hello world 的生涩,到架构复杂系统的从容,那些在键盘敲击声里流过的日夜,都想在这里慢慢梳理
12-03 690
提升Text-to-SQL精准度是一个“全链路优化”问题,需从用户输入解析、Schema理解、上下文管理到SQL验证形成闭环。结合本文介绍的策略——优化NLU模块减少歧义、增强Schema语义理解、引入上下文感知机制、构建反馈闭环——可显著提升系统的实用性。
8.3 查询优化 核心知识点总结
最新发布
2301_80025611的博客
12-05 607
本文系统阐述了数据库查询优化的核心流程与技术要点。首先明确了查询优化的定义和完整流程,即通过查询树转换、执行策略选择和顺序确定来生成高效执行计划。重点解析了查询树结构、逻辑转换原则(选择/投影下推、连接重排)以及三种策略选择方法(优先级、规则、成本模型)。特别针对空间查询的特殊性,分析了其CPU/I/O双密集型特征带来的优化挑战,包括空间操作成本估算困难、逻辑转换需谨慎权衡等问题。最后总结了空间查询优化的关键技术路径,强调需结合空间索引和过滤-精炼范式来平衡计算成本。全文为理解查询优化机制,特别是空间查询的
Oracle或DM(达梦)时间戳之间的差值SQL迁移到瀚高数据库
HighGO
12-02 814
这两列相减(starttime - endtime),不同的数据库得到的结果不同,以Oracle、DM(达梦)、瀚高数据库为例来说明。由于Oracle时间戳相减得到的是时间间隔类型,所以不能直接将这个结果去乘以24*60,得到的结果不准确。注意:如果使用时间间隔限定符,得到的结果不一样(我们这里只看一下就行,不做深入讨论)此时得到的是时间间隔类型,如果没有指定时间间隔限定符默认得到的是float类型。结果:181 days 09:00:00(时间间隔类型)结果:181.375(float类型)
文件上传漏洞
07-01
部署防篡改系统,实时阻断Webshell写入行为。 同时,日志目录应禁止Web用户写入权限,攻击者通过日志文件包含执行恶意代码[^3]。 最后,在网络层面,也可以通过部署专业的安全设备来检测和拦截文件上传过程中...
评论
成就一亿技术人!
拼手气红包6.0元
还能输入1000个字符
 
红包 添加红包
表情包 插入表情
表情包 代码片
 条评论被折叠 查看
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值