月光博客 » 网站建设 » Z-Blog URL转发漏洞的修复方法

Z-Blog URL转发漏洞的修复方法

  今天我发现了Z-Blog的URL转发文件存在一个漏洞,黑帽SEO通过这个漏洞可以欺骗反垃圾引擎而在类似维基百科这样的站点进行恶意SPAM。

  Z-Blog的反垃圾留言设计为通过加密URL地址进行转发,链接转发的文件名是c_urlredirect.asp,通过这个文件的参数转发不同的URL链接地址,但是加密的方法极其简单,只要将奇数字节拼合即可解密,因此,黑帽SEO通过拼合这个地址,将其他Z-Blog网站上的转发链接功能变成调用自己网址的功能,这样,即使其原始URL地址在维基百科被屏蔽或者惩罚,他们也可以通过这种转发的方式继续在维基百科制造垃圾链接。

  解决这种黑帽SEO的方法,通过删除c_urlredirect.asp可以避免,但会导致博客正常作者留下的链接地址无法点击。通常可以使用修改代码的方法解决,在c_urlredirect.asp文件中,加入以下几行代码,这样,当黑帽SEO在其他网站制造URL转发链接的时候,页面就不会跳转,从而修复了这个漏洞。

Dim strReferer
strReferer=CStr(Request.ServerVariables("HTTP_REFERER"))
If Instr(strReferer,ZC_BLOG_HOST)=0 Then
 ShowError(5)
End If

  建议所有使用Z-Blog的用户,请立刻在你的c_urlredirect.asp中加入以上代码,否则有可能会被不法之徒利用其做坏事,我在维基百科的Spam blacklist里,已经发现不少Z-Blog博客的域名被列入了黑名单,包括我的域名在内,所有的操作都是一个黑帽SEO在10月底11月初的时候,通过一个韩国的VPN代理上维基百科进行的恶意SPAM操作,这些黑帽SEO尽在那里做一些损人不利己的事情,实在是中国网络界的一个羞耻。

  另外建议维基百科在屏蔽垃圾链接的时候,对于这种黑帽SEO的恶意操作,不要屏蔽无辜的站点,比如我和另外几个Z-Blog博客的地址都被这个黑帽SEO利用,结果我们的域名都被维基百科屏蔽,而且该黑帽SEO还可以通过这个方法陷害更多使用Z-Blog的网站。我建议维基百科可以屏蔽c_urlredirect.asp这个地址,这样通过这种方法进行发送垃圾链接就会无效了,这样就可以避免错杀无辜了。

  更新:Z-Blog官方站点已经出了补丁文件,点这里访问。

支付宝

支付宝

微信

微信
顶一下 ▲()   踩一下 ▼()

相关文章

  1. 1
    haphic   说道:
    直接受害者不是 Z-Blog 用户, 所以没必要太过担心, 静静等待官方升级就是了.
    支持(18反对(7回复
  1. 不错,学习一下
    支持(20反对(9回复
  1. 3
    技术资料   说道:
    不错,学习一下
    支持(22反对(12回复
  1. 4
    jackymao   说道:
    哪里都会有漏洞,还是要注意更新呀~!

    要是有自动提醒更新的或者自动更新的东东就好了。
    支持(21反对(13回复
  1. 5
    低调   说道:
    顶月光,加到文件的任何地方都可以吧。
    支持(18反对(10回复
  1. 6
    PIFA   说道:
    我用的WP,沙发
    支持(16反对(9回复
  1. 7
    韩国部落   说道:
    高手云集呀!
    支持(19反对(12回复
  1. 8
    私爱   说道:
    我应该好好学习下
    支持(21反对(14回复
  1. 9
    九月   说道:
    学习了,谢谢啊,我也用ZBLOG
    支持(14反对(9回复
  1. 10
    时间博客   说道:
    貌似月光用的还不是最新的版本。
    支持(16反对(11回复
  1. 11
    Washun   说道:
    我理解错了 自己也做错了 是应该加到前面
    支持(15反对(10回复
  1. 12
    mjj   说道:
    学习了,很好的文章。一直都在用z_blog。
    支持(17反对(12回复
  1. 13
    随缘   说道:
    谢谢,赶紧去更新一下
    支持(11反对(9回复
  1. 14
    GGHHGG   说道:
    月光你真无聊,这样都给你发现
    支持(13反对(11回复
  1. 15
    DOTA   说道:
    学习拉。 啊啊啊
    支持(16反对(14回复
  1. 16
    挖掘客   说道:
    学习了,谢谢啊
    支持(10反对(9回复
  1. 17
    Scofield   说道:
    支持z-blog...
    支持(11反对(10回复
  1. 18
    williamlong   说道:
    是加在Response.Redirect strUrl前面吧,加在后面怎么能执行到?
    支持(13反对(12回复
  1. 19
    不是俺   说道:
    最新版zblog好像无法接收trackback了,您看看是咋回事。

    虽说trackback是种被废弃的功能,但没有了总不大爽。另外“点击这里获取该日志的TrackBack引用地址”也不大舒服,有了反垃圾留言插件应该不怕spam了吧?
    支持(16反对(16回复
  1. 20
    DOTA   说道:
    是啊/啊啊啊啊啊
    支持(10反对(10回复
  1. 21
    skxx520   说道:
    你好 我的博客跟换了域名 原来的域名不能用了 现在用新的域名进不了管理 能帮忙解决一下吗 ?
    支持(12反对(13回复
  1. 22
    长款毛衣外套   说道:
    学习了谢谢,,不错
    支持(16反对(17回复
  1. 23
    125jf   说道:
    做网站用这个源码不错!
    支持(13反对(15回复
  1. 24
    Washun   说道:
    打开FUNCTION/c_urlredirect.asp 把上述代码加到
    Response.Redirect strUrl的后面
    支持(11反对(14回复
  1. 25
    StreetChic   说道:
    通过ftp 修改回来也没有用

    晕死了
    支持(16反对(19回复
  1. 26
    Sleven   说道:
    用Wordpress的飘过。。。
    支持(18反对(22回复
  1. 27
    探客   说道:
    套用林叔叔的一句经典用语:
    我干了,怎么了?开个价吧。
    你们算个P啊。
    支持(10反对(14回复
  1. 28
    老臧   说道:
    晕漏洞还不少呀
    支持(14反对(19回复
  1. 29
    星梦逍遥   说道:
    不太懂得是什么意思 看看先
    支持(8反对(13回复
  1. 30
    门前那棵树   说道:
    不懂马上搞一搞
    支持(11反对(16回复
  1. 31
    大帝007   说道:
    还有这个漏洞,是该整下了。
    支持(14反对(19回复
  1. 32
    重庆东温泉   说道:
    学习ing....
    支持(15反对(22回复
  1. 33
    StreetChic   说道:
    我晕啊

    我改了之后数据库无法链接了

    我是通过文件管理改的

    怎么办啊

    现在后台也登陆不进去

    求助啊 月光
    支持(11反对(18回复
  1. 34
    怪胎   说道:
    赶快更新去~~
    支持(12反对(21回复
  1. 35
    haphic   说道:
    我虽然也上 Wiki百科, 但Wiki百科和我的域名从来就没关系, 封与不封对我也没什么影响.
    支持(11反对(30回复

发表留言