解站长之忧 教你打造高安全动网论坛

　　封杀头像上传漏洞
动网论坛利用最多的就是头像上传漏洞，所以这里我们需在后台界面内，单击“基本设置”标签，在右侧所显示的“论坛基本设置”标签内，单击“上传设置”标签(图1)。
[img=498,343]http://security.ctocio. com.cn/imagelist/2009/065/p1w8jfz1xp51.jpg[/img]
图1 进入论坛基本设置界面
此时便可跳转到“上传设置”界面，接下里我们在“头像上传”列表内，将其选项选择为“完全关闭” 列表，然后“保存”使其设置生效(图2)。

图2 将头像上传选择完全关闭状态
修改 管理员 资料
操作完毕后，将管理员默认密码修改掉，因为这也是经常被黑客所偷袭的对象，我们在其“上传设置”页面，将右侧滚动条拖动到最上面，然后单击修改“管理员资料”标签，选择“管理员”账号进入到管理员修改界面，我们将其设置密码最好设置长一些，免得被黑客破解(图3)。

图3 修改管理员密码
修改上传文件类型
接下来为了防止恶意人修改上传文件类型，我们需要在架设的论坛目录里，找到admin _Boardsetting.asp文件，并将其以记事本形式将其打开，然后从中依次单击上方“”→“查找”选项，在弹出的“查找”对话框内，输入“readonly”字符，单击“查找下一个”按钮。稍等片刻，便可从文中代码找到“readonly”字符，然后在其后面加上这段代码(图4)。

图4 加入一段禁止修改上传文件类型的代码
然后将其保存，为了测试其禁止修改上传文件的代码是否管用，我们在“动网后台”界面的“论坛管理”栏里，单击“管理”标签，在所显示的“论坛管理”器内，单击下面“高级设置”选项，这事会出现的测试栏内(图5)。

图5 找到上传文件类型
我们找到上传文件类型，对其里面的文件类型进行修改，此时你会发现居然无法进行修改了，这样我们禁止代码也就成功了，从而可以禁止黑客将木马以其他文件类型传入后台。
当然如果论坛开启了html解析，并且还没有过滤掉Iframe|Object|Script|标签，那么攻击者就可通过Html的这些标签实现页面自动转移，这样当用户浏览到恶意人所发出的特殊帖子，会自动跳转到他所指定的恶意页面。因此过滤Iframe|Object|Script|标签刻不容缓，这里在论坛后台的“基本设置”界面内，找到“论坛脚本过滤扩展设置”标签，然后在其文本处输入你所要过滤的“Iframe|Object|Script|”标签(图6)。

图6 过滤Iframe|Object|Script|标签
然后将右侧滚动条拖动到最下面，单击“提交”按钮，使其过滤的Iframe|Object|Script|标签设置生效，这样恶意人就没法利用Iframe|Object|Script|标签做恶了，同时一个非常 BT的动网论坛就打造出来了，相信即使是再厉害的黑客，也会一头雾水选择绕道而行的方案。