如何解决跨站攻击的问题？

爱洞特漏

何谓跨站攻击？
讲得容易懂一点就是A站点的程序可以读写B站点的内容。既然可以写，当然就可以干坏事啦！如植木马，放病毒...后果往往非常严重：假如服务器上的某个程序有漏洞，整台服务器上的网站都有可能被黑掉

用最新的LuManager想用PHP语言跨目录攻击是不太可能了，除非PHP本身出现这方面的漏洞
但除了用普通的攻击方法，其实还有别的方法（在此不细说）。我们可以用LuManger通过如下方法来防止：

1. 给每一个用户一个cgi端口。张三的所有主机都用9000，李四的所有主机用9001；
方法如下：添加或者编辑主机时，打开“更多设置”（1.1以上的用户，请在套餐中设置php-cgi端口），在PHP-CGI端口中填写便可
2. 请不要用ssh去更改/home/ftp目录下的文件权限，也就是以用户ID命名的目录的权限；
3. 添加或编辑主机时，一定要勾选“限制访问其它目录”（默认是勾选的，非必要，请不要取消）。


相关问题：

问：为什么FTP目录那么长？
答：如用短目录名，被猜到可能性就大大增加，一旦猜到，将有可能被植入木马或病毒。实在不喜欢，可以在添加FTP的时候，打开“更多设置”，自定义FTP目录

问：为什么每个用户要用不同的php-cgi端口？
答：如A和B用户用同一端口，A用户可以用PHP直接调出B用户的FTP目录名。

问：做完以上操作后，将网站所有文件设置为777，安全吗？
答：您可以将网站程序的必须可写目录设置为可写，别的只读的设置为5，如A目录必须可写，那么设置成775，B目录不可写，只能读，则设置成555。实际上，您根本不用去设置这些，我们已经做了相关的处理，您只需在开通FTP后，上传程序即可，不用理会权限的问题（其实就算设置成777，也是安全的）。

建议看看：关于Linux/Unix文件系统权限的说明

沙发！！！

ray1980

问：做完以上操作后，将网站所有文件设置为777，安全吗？
答：您可以将网站程序的必须可写目录设置为可写，别的只读的设置为5，如A目录必须可写，那么设置成775，B目录不可写，只能读，则设置成555。实际上，您根本不用去设置这些，我们已经做了相关的处理。您只需在开通FTP后，上传程序即可，不用理会权限的问题。

能说一下是哪些相关处理么？

jackxx

一些设置没必要说的那么详细哦~

牛角

权限设定和cPanel一样吗？
关于权限，用SSH 解压，为什么有些VPS解压出来的文件夹全部是775权限，而有些VPS上解压出的文件夹权限是755？
我用的magento程序，在cPanel下，文件夹要设置为755 可写，但在另一个vps上要设置为777 可写，magento 才能安装，为什么呢？

wohedon

我们的论坛是不是应该要更新一下了  连头像都换不了。

爱洞特漏

权限设定和cPanel一样吗？
关于权限，用SSH 解压，为什么有些VPS解压出来的文件夹全部是775权限，而有些VPS上解压出的文件夹权限是755？
我用的magento程序，在cPanel下，文件夹要设置为755 可写，但在另一个vps上 ...
牛角 发表于 2011-2-21 23:42

因为用户和用户组不一样


777,755,744,544,577.......

第一个，是你
第二个，是你家人
第三个，是我

如果第三个是4，我可以去你家看看
如果第三个是2，我可以往你家扔个炸弹
如果第三个是1，我可以点燃任何炸弹

如果第一个是6，你可以在家你看看，在往你家扔炸弹，但你点不火...

snq3344

顶

laughskydragon

我安装ucenter结果不能通信，是不是因为限制了脚本目录访问的问题？但是我解除限制后，又出现网站打不开的现象，为什么？

-初恋情人-

呵呵  学习了 。

qq9801836

学习学习哈哈

红日冉冉

走过路过不要错过！！！！
。。。。。。。。。。
留个记号！！！！！

bfnrn

完全支持你，大家都会顶你












e世乐趣  信息免费发布网  站长交流http://www.e467.com


互联星空-web.e467.com-所有空间支持免费试用、月付、年付、伪静态，直接在网站后台开启，不需配置httpd.ini等文件，子目录/子域名绑定功能，一个空间可建多个独立子站，免备案主机，5元/月，双线云主机15.8元/月，空间大小不等、价格高低有别，并赠送相应的数据库。

albertgao

爱洞特漏 发表于 2011-4-13 00:53
因为用户和用户组不一样

经典哈哈...................

ャoo蝶之恋﹎

走过路过不要错过！！！！
。。。。。。。。。。
留个记号！！！！！