青青子衿, 悠悠我心, 但为君故, 沉吟至今
« 谷歌拼音输入法2.0测试版试用珊瑚虫QQ案终审判决生效 »

Z-Blog URL转发漏洞的修复方法

  今天我发现了Z-Blog的URL转发文件存在一个漏洞,黑帽SEO通过这个漏洞可以欺骗反垃圾引擎而在类似维基百科这样的站点进行恶意SPAM。

  Z-Blog的反垃圾留言设计为通过加密URL地址进行转发,链接转发的文件名是c_urlredirect.asp,通过这个文件的参数转发不同的URL链接地址,但是加密的方法极其简单,只要将奇数字节拼合即可解密,因此,黑帽SEO通过拼合这个地址,将其他Z-Blog网站上的转发链接功能变成调用自己网址的功能,这样,即使其原始URL地址在维基百科被屏蔽或者惩罚,他们也可以通过这种转发的方式继续在维基百科制造垃圾链接。

  解决这种黑帽SEO的方法,通过删除c_urlredirect.asp可以避免,但会导致博客正常作者留下的链接地址无法点击。通常可以使用修改代码的方法解决,在c_urlredirect.asp文件中,加入以下几行代码,这样,当黑帽SEO在其他网站制造URL转发链接的时候,页面就不会跳转,从而修复了这个漏洞。

Dim strReferer
strReferer=CStr(Request.ServerVariables("HTTP_REFERER"))
If Instr(strReferer,ZC_BLOG_HOST)=0 Then
 ShowError(5)
End If

  建议所有使用Z-Blog的用户,请立刻在你的c_urlredirect.asp中加入以上代码,否则有可能会被不法之徒利用其做坏事,我在维基百科的Spam blacklist里,已经发现不少Z-Blog博客的域名被列入了黑名单,包括我的域名在内,所有的操作都是一个黑帽SEO在10月底11月初的时候,通过一个韩国的VPN代理上维基百科进行的恶意SPAM操作,这些黑帽SEO尽在那里做一些损人不利己的事情,实在是中国网络界的一个羞耻。

  另外建议维基百科在屏蔽垃圾链接的时候,对于这种黑帽SEO的恶意操作,不要屏蔽无辜的站点,比如我和另外几个Z-Blog博客的地址都被这个黑帽SEO利用,结果我们的域名都被维基百科屏蔽,而且该黑帽SEO还可以通过这个方法陷害更多使用Z-Blog的网站。我建议维基百科可以屏蔽c_urlredirect.asp这个地址,这样通过这种方法进行发送垃圾链接就会无效了,这样就可以避免错杀无辜了。

  更新:Z-Blog官方站点已经出了补丁文件,点这里访问。



  除非注明,月光博客文章均为原创,转载请以链接形式标明本文地址

  本文地址:http://www.williamlong.info/archives/1584.html
  • 文章排行:
  • 1.haphic
  • 直接受害者不是 Z-Blog 用户, 所以没必要太过担心, 静静等待官方升级就是了.
  • 2008/11/25 9:39:32   支持(18)反对(7) 回复
  • 2.迪飞辛空气能热水器
  • 不错,学习一下
  • 2010/1/29 9:40:15   支持(20)反对(9) 回复
  • 4.jackymao
  • 哪里都会有漏洞,还是要注意更新呀~!

    要是有自动提醒更新的或者自动更新的东东就好了。
  • 2008/11/25 9:24:31   支持(21)反对(13) 回复
  • 5.低调
  • 顶月光,加到文件的任何地方都可以吧。
  • 2008/11/25 9:24:40   支持(18)反对(10) 回复
  • 9.九月
  • 学习了,谢谢啊,我也用ZBLOG
  • 2008/11/25 9:37:22   支持(14)反对(9) 回复
  • 10.时间博客
  • 貌似月光用的还不是最新的版本。
  • 2008/11/25 12:46:50   支持(16)反对(11) 回复
  • 11.Washun
  • 我理解错了 自己也做错了 是应该加到前面
  • 2008/11/25 16:03:10   支持(15)反对(10) 回复
  • 12.mjj
  • 学习了,很好的文章。一直都在用z_blog。
  • 2008/11/25 22:36:21   支持(17)反对(12) 回复
  • 14.GGHHGG
  • 月光你真无聊,这样都给你发现
  • 2008/11/27 1:55:36   支持(13)反对(11) 回复
  • 18.williamlong
  • 是加在Response.Redirect strUrl前面吧,加在后面怎么能执行到?
  • 2008/11/25 15:40:53   支持(13)反对(12) 回复
  • 19.不是俺
  • 最新版zblog好像无法接收trackback了,您看看是咋回事。

    虽说trackback是种被废弃的功能,但没有了总不大爽。另外“点击这里获取该日志的TrackBack引用地址”也不大舒服,有了反垃圾留言插件应该不怕spam了吧?
  • 2008/11/25 11:02:30   支持(16)反对(16) 回复
  • 21.skxx520
  • 你好 我的博客跟换了域名 原来的域名不能用了 现在用新的域名进不了管理 能帮忙解决一下吗 ?
  • 2009/3/20 16:26:54   支持(12)反对(13) 回复
  • 22.长款毛衣外套
  • 学习了谢谢,,不错
  • 2010/11/28 22:06:08   支持(16)反对(17) 回复
  • 24.Washun
  • 打开FUNCTION/c_urlredirect.asp 把上述代码加到
    Response.Redirect strUrl的后面
  • 2008/11/25 15:38:55   支持(11)反对(14) 回复
  • 25.StreetChic
  • 通过ftp 修改回来也没有用

    晕死了
  • 2008/11/26 12:26:39   支持(16)反对(19) 回复
  • 27.探客
  • 套用林叔叔的一句经典用语:
    我干了,怎么了?开个价吧。
    你们算个P啊。
  • 2008/11/26 8:07:05   支持(10)反对(14) 回复
  • 29.星梦逍遥
  • 不太懂得是什么意思 看看先
  • 2008/11/25 14:03:37   支持(8)反对(13) 回复
  • 31.大帝007
  • 还有这个漏洞,是该整下了。
  • 2008/12/6 21:41:17   支持(14)反对(19) 回复
  • 33.StreetChic
  • 我晕啊

    我改了之后数据库无法链接了

    我是通过文件管理改的

    怎么办啊

    现在后台也登陆不进去

    求助啊 月光
  • 2008/11/26 12:26:22   支持(11)反对(18) 回复
  • 35.haphic
  • 我虽然也上 Wiki百科, 但Wiki百科和我的域名从来就没关系, 封与不封对我也没什么影响.
  • 2008/11/25 9:44:42   支持(11)反对(30) 回复

发表评论:

 请勿发送垃圾信息、广告、推广信息或链接,这样的信息将会被直接删除。

订阅博客

  • 订阅我的博客:订阅我的博客
  • 关注新浪微博:关注新浪微博
  • 关注腾讯微博:关注腾讯微博
  • 关注认证空间:关注QQ空间
  • 通过电子邮件订阅
  • 通过QQ邮件订阅

站内搜索

热文排行


月度排行

本站采用创作共用版权协议, 要求署名、非商业用途和相同方式共享. 转载本站内容必须也遵循“署名-非商业用途-相同方式共享”的创作共用协议.
This site is licensed under a Creative Commons Attribution-NonCommercial-ShareAlike 3.0 License.