1月
29
HDwiki管理员可以直接添加超级管理员引发的问题
发现HDwiki 挺可怕的一处逻辑漏洞,管理员可以直接添加一个超级管理员账号,而超级管理员具有后台文件管理和数据库管理的权限… 如图,用户demo头衔为管理员: 添加用户时,有超级管理员选项: 可怕的是居然可以添加成功: 添加成功后: 这样管理员账号轻易的取得了超级管理员的权限,然后就可以直接在后台进行文件和数据库操作: 数据库备份操作: … Continue reading
Tag Archives: 安全设置
11月
08
Dokuwiki在Nginx上的安装和配置
Dokuwiki在Apache上安装很简单,这里说说在Nginx的设置。 一、禁止Dokuwiki敏感目录的访问 在Apache下,因为各目录下的.htaccess文件已经设置好了,所以无需任何修改就可以用,但是Nginx下不仅要禁止目录访问,还要加密目录,否则输入文件名依然可以下载。加密目录的方法请参看LNMP下为Nginx目录设置访问 … Continue reading