webshell，禁止你执行

    做了那么多渗透测试，关于拿webshell的方法算是知道了不少。现在回过头看看自己的站，是不是也要增加点防御措施呢？实话说，如果有emlog后台的话传webshell应该不成问题，保护后台最简单的方法就是设置一个复杂的密码，md5破解不了黑客也束手无策。

    其实最危险的地方是我们自己，像我这种爱折腾的人喜欢在网站上传一些不同人写的程序，比如图床，而且不会去看这些脚本有没有漏洞。最后导致黑客拿到webshell。

    所以如果关键目录可以不让它执行脚本（比如upfile目录），那么木马传上来也不能执行，岂不是乐哉~~(笑)

    于是乎修改.htaccess文件：在需要保护的目录下上传如下.htaccess：

<Files ~ ".php">
Order allow,deny
Deny from all
</Files>

    比较简单地禁止了目录运行php文件。其实最保险的措施是在Apache配置文件中修改，但虚拟主机用户似乎没有权限。

    这样，webshell传上去打开，会提示404错误。你可以试试http://leavesongs.tk/tools/favicon/temp/webshell.php

相关推荐: CVE-2021-21287: 容器与云的碰撞——一次对MinIO的测试

事先声明：本次测试过程完全处于本地或授权环境，仅供学习与参考，不存在未授权测试过程。本文提到的漏洞《MinIO未授权SSRF漏洞（CVE-2021-21287）》已经修复，也请读者勿使用该漏洞进行未授权测试，否则作者不承担任何责任 (English editi…