搜索到
101
篇与
的结果
-
修改Emlog后台登录路径的方法 Emlog后台登录地址的目录名称默认为admin,并且官方没有提供自定义后台登录入口名字的功能,这多少让我们觉得有些不安全,毕竟暴露一个网站的后台不是一件安全的事,今天就给大家分享一些修改方法,增加一下网站的安全性。1、修改根目录下admin的名称2、找到admin/globals.php中的代码 define('TEMPLATE_PATH', EMLOG_ROOT.'/admin/views/');//后台当前模板路径 把其中的admin改为第一步更改的名称就ok了 注意:千万不要用记事本来修改核心文件,否则后果很严重。3、登录后在导航设置里将 “登录” 隐藏,否则点击会出现404错误。查看修改默认导航解决一些后遗症:1. 改变后台路径后,微语的表情图片无法显示,解决方法:打开 include/lib/function.base.php , 找到$t = str_replace($data,'',$t);替换 admin为你更改的名称:$t = str_replace($data,'',$t);2. 若后台的个人设置里没有上传新头像,则微语头像也无法在前台显示,解决办法:打开 t/index.php ,找到$avatar = empty($user_cache[UID]['avatar']) ? '../admin/views/images/avatar.jpg' : '../' . $user_cache[UID]['avatar'];替换 admin为你更改的名称:$avatar = empty($user_cache[UID]['avatar']) ? '../你更改的名称/views/images/avatar.jpg' : '../' . $user_cache[UID]['avatar'];3.再打开模板里面的 t.php ,即 content/templates/模板名/t.php ,找到BLOG_URL . 'admin/views/images/avatar.jpg' :替换 admin为你更改的名称:BLOG_URL . '你更改的名称/views/images/avatar.jpg' 4. 解决模板损坏时“点击返回”按钮的链接问题,默认admin,点击后出错 :打开 include/lib/view.php ,找到emMsg('当前使用的模板已被删除或损坏,请登录后台更换其他模板。', BLOG_URL . 'admin/template.php');替换 admin为你更改的名称 :emMsg('当前使用的模板已被删除或损坏,请登录后台更换其他模板。', BLOG_URL . '你更改的名称/template.php'); 5. 解决文章列表页编辑按钮链接问题,打开模板的 module.php文件,找到$editflg = ROLE == ROLE_ADMIN || $author == UID ? '编辑' : '';替换 admin为你更改的名称:$editflg = ROLE == ROLE_ADMIN || $author == UID ? '编辑' : ''; -
Emlog非插件实现获取评论用户操作系统与浏览器信息 首先找到并打开 include/model/comment_model.php 文件 找到如下代码(一般在第45行) while ($row = $this->db->fetch_array($ret)){ //在这里增加一个获取useragent的信息 } 在上面的位置增加一个获取useragent的信息的代码 $row['useragent'] = htmlspecialchars($row['useragent']); 代码位置如下图所示其次在249行的评论提交中增加一个useragent的信息到数据库里修改代码如下: function addComment($name, $content, $mail, $url, $imgcode, $blogId, $pid) { $ipaddr = getIp(); $useragent = $_SERVER['HTTP_USER_AGENT']; $utctimestamp = time(); if($pid != 0) { $comment = $this->getOneComment($pid); $content = '@' . addslashes($comment['poster']) . ':' . $content; } $ischkcomment = Option::get('ischkcomment'); $hide = ROLE == ROLE_VISITOR ? $ischkcomment : 'n'; $sql = 'INSERT INTO '.DB_PREFIX."comment (date,poster,gid,comment,mail,url,hide,ip,pid,useragent) VALUES ('$utctimestamp','$name','$blogId','$content','$mail','$url','$hide','$ipaddr','$pid','$useragent')"; $ret = $this->db->query($sql); $cid = $this->db->insert_id(); $CACHE = Cache::getInstance(); if ($hide == 'n') { $this->db->query('UPDATE '.DB_PREFIX."blog SET comnum = comnum + 1 WHERE gid='$blogId'"); $CACHE->updateCache(array('sta', 'comment')); doAction('comment_saved', $cid); emDirect(Url::log($blogId).'#'.$cid); } else { $CACHE->updateCache('sta'); doAction('comment_saved', $cid); emMsg('评论发表成功,请等待管理员审核', Url::log($blogId)); } } 然后打开Emlog模板目录并找到module.php文件添加如下代码: <?php //获取评论用户操作系统、浏览器等信息 function useragent($info){ require_once 'useragent.class.php'; $useragent = UserAgentFactory::analyze($info); ?> <img src="<?php echo TEMPLATE_URL.$useragent->platform['image']?>"> <?php echo $useragent->platform['title']; ?> <img src="<?php echo TEMPLATE_URL.$useragent->browser['image']?>"> <?php echo $useragent->browser['title']; ?> <?php } ?> 最后再到模版文件module.php中的评论列表和子评论列表适当位置添加如下挂载点代码 <?php echo useragent($comment['useragent']); ?>
-
-
修复Emlog暴力破解后台漏洞 漏洞简介:Emlog博客系统默认后台登陆地址为http://域名/admin/login.php而后台登陆时,错误情况下,验证码未刷新,导致可暴力破解登陆管理员账号低危漏洞,但是在emlog5.3.1和6.0测试版本均存在漏洞成因:同时,其6.0测试版本也未修复。漏洞验证/演示:下载官方的emlog5.3.1版本http://bbs.emlog.net/forum.php?mod=attachment&aid=MTk5MjF8OGI3OWViYWR8MTUwOTI0NjMzMnw0MjA4OXwzNjU4NQ%3D%3D已知管理员用户名为:admin(可在前端文章页寻找作者用户名) 登陆后台: 随便输入admin admin123 qdiwx,点击登陆然后burpsuite抓包 CTRL+I尝试暴力破解: 成功爆破出密码,所以再次验证:验证码没消除会话,导致可暴力破解漏洞的存在解决办法: 在/admin/globals.php文件中增加以下代码:unset($_SESSION['code']);
-
-
-
-
