我测试了自己的BLOG程序的安全性

XiaoUn那里得知网上流传一个叫"L-BLOG漏洞专用利用工具的软件,这个软件会自动注册,导致LBLOG内生成如4Y4w_8B5u_6R6k的注册用户,然后利用LBLOG上传漏洞上传一个ASP木马到BLOG站点上.我下载了一个试用了一下,发现这软件自动化程度非常高.可以轻易破坏别人辛苦建立的BLOG.
  下图是我测试我自己的BLOG的截图,发现LBS用户没有受这个L-BLOG漏洞专用利用工具的影响.我顺便测试了moneywood的木乐阁,他的BLOG也是LBS,也没有发现漏洞.最近我的BLOG中的大量随机用户名原来就是这个软件生成的.看来,在此之前,已经有不止一位朋友帮我测试过了.不知为什么,竟然要测试也不通知一下,测试结果也不告诉我. [cry]

attachments/month_200501/22_003758_07ycresult.gif

11 thoughts on “我测试了自己的BLOG程序的安全性”

  1. TO david:这款工具很多地方曾提供下载,自己耐心找吧..我也忘了哪个链接是有效的了.这款工具只针对LOVEYUKI维护的LBLOG1.08以下版本,对SIC改过的LBS无效.
    TO loson:对于漏洞,公布还是不公布,仁者见仁,智者见智.通常的作法是先通知开发者,开发者提供了补丁后才能公布.
    GUO同学公布的站外提交修改日志的工具是完全善意而无破坏性的,这个"LBLOG漏洞专用利用工具就有点破坏性了.
    在我看来,鸡蛋有缝并不是苍蝇的错,与其对破坏者责备,不如向开发者求全.

  2. 谢谢免费的安全顾问:)

    我从来就不怕这些什么漏洞
    因为我有每写完一篇blog,就下载数据库备份的习惯。 [wink]

  3. 引用自 moneywood
    谢谢免费的安全顾问:)

    我从来就不怕这些什么漏洞
    因为我有每写完一篇blog,就下载数据库备份的习惯。

    我是天天备份,理论来讲,没有一台主机是安全的。

  4. 引用自 moneywood
    谢谢免费的安全顾问:)

    我从来就不怕这些什么漏洞
    因为我有每写完一篇blog,就下载数据库备份的习惯。

    我和moneywood的习惯一样,嘿嘿,数据备份第一 [lol]

发表回复

您的电子邮箱地址不会被公开。 必填项已用*标注

此站点使用Akismet来减少垃圾评论。了解我们如何处理您的评论数据