您的位置: 玉溪资讯网 > 健康

关注ZBlogFeed及其产生的安全隐患

发布时间:2019-11-28 15:29:37

关注Z-Blog Feed及其产生的安全隐患

A5任务 SEO诊断选学淘宝客 站长团购 云主机

Z-Blog的Feed分为静态Feed、动态Feed两种:

一、静态Feed:Z-Blog系统通过后台 索引重建 功能,可生成两种静态XML种子:

1、RSS2.0标准格式文件,文件名为l 如:

2、Atom1.0标准格式文件,格式为/p?atom 如:

二、动态Feed:Z-Blog系统还可通过p文件,将博客内的一些数据制成动态RSS2.0标准的XML种子,方便读者订阅。用户可通过调用Feed文件内的参数,实现特定内容的订阅 例如:用户只关注博客的特定栏目,此时,只需调用Feed文件内的相关参数来订阅该栏目即可。

Z-blog系统的Feed提供多种参数调用,充分满足用户个性化需求,现将参数汇总如下:

参数 有效值 默认值 描述

cate 分类ID 无 输出某分类文章RSS

tags TagID 无 对应tag最近的文章RSS

user 用户ID 无 对应用户最近发布的文章RSS

date 年-月 无 对应 年-月 部分文章RSS

cmt 文章ID 输出整站最新评论 相应文章的最新评论RSS

gb 无 无 留言本最新留言

Feed安全隐患:Feed安全隐患主要体现在动态Feed user参数调用上(订阅某个用户最近发表的文章),通常使用http://blog地址/p?user=ID订阅z-blog某个用户最新文章时,程序会调用此用户的账户作为页面的标题。尤其在使用http://blog地址/p?user=1 订阅博主最新文章时,管理员账户会以较大的字体出现在页面的标题中,管理员账户暴露无遗,系统安全系数大幅降低。

Feed user隐患解决方法:在站点p文件中定位到 Function ExportRSSbyUser(UserID) 这个函数 Feed user参数调用函数,在该函数中找到 UserName=Users(UserID).Name 代码行(程序第151行),直接修改变量UserName的值,如: UserName= 阿民 ,这样即可有效避免管理员账户的泄露。

扩展阅读:

如果你感觉Z-blog程序默认的Feed页面title过于单调,可适当进行修改。修改时,需定位到CSS/lt文件,查找 标签,在该标签前后加入自定义title,如: Rss订阅-

名词解释:

Feed,本意是 饲料、饲养、(的)广播等 ,RSS订阅的过程中会用到的 Feed ,便是在这个意义上进行引申,表示这是用来接收该信息来源更新的接口;Feed就是为满足希望以某种形式持续得到自己更新的需求而提供的格式标准的信息出口,可以理解为,你的Blog页面是给人读的,而Feed是给程序读的。更多请参阅Feed_百度百科。

本文为 原创首发,转载须注明出处!

婚姻家庭
两晋隋唐
新手
猜你会喜欢的
猜你会喜欢的