网站运营
位置:首页>> 网站运营>> Z-Blog URL转发漏洞的修复方法

Z-Blog URL转发漏洞的修复方法

作者:williamlong 来源:月光博客 发布时间:2008-12-01 12:54:00 

标签:z-blog,url,漏洞,SPAM

今天我发现了Z-Blog的URL转发文件存在一个漏洞,黑帽SEO通过这个漏洞可以欺骗反垃圾引擎而在类似 * 这样的站点进行恶意SPAM。

Z-Blog的反垃圾留言设计为通过加密URL地址进行转发,链接转发的文件名是c_urlredirect.asp,通过这个文件的参数转发不同的URL链接地址,但是加密的方法极其简单,只要将奇数字节拼合即可解密,因此,黑帽SEO通过拼合这个地址,将其他Z-Blog网站上的转发链接功能变成调用自己网址的功能,这样,即使其原始URL地址在 * 被屏蔽或者惩罚,他们也可以通过这种转发的方式继续在 * 制造垃圾链接。

解决这种黑帽SEO的方法,通过删除c_urlredirect.asp可以避免,但会导致博客正常作者留下的链接地址无法点击。通常可以使用修改代码的方法解决,在c_urlredirect.asp文件中,加入以下几行代码,这样,当黑帽SEO在其他网站制造URL转发链接的时候,页面就不会跳转,从而修复了这个漏洞。

Dim strReferer
strReferer=CStr(Request.ServerVariables("HTTP_REFERER"))
If Instr(strReferer,ZC_BLOG_HOST)=0 Then
 ShowError(5)
End If

建议所有使用Z-Blog的用户,请立刻在你的c_urlredirect.asp中加入以上代码,否则有可能会被不法之徒利用其做坏事,我在 * 的Spam blacklist里,已经发现不少Z-Blog博客的域名被列入了黑名单,包括我的域名在内,所有的操作都是一个黑帽SEO在10月底11月初的时候,通过一个韩国的VPN代理上 * 进行的恶意SPAM操作,这些黑帽SEO尽在那里做一些损人不利己的事情,实在是中国网络界的一个羞耻。

另外建议 * 在屏蔽垃圾链接的时候,对于这种黑帽SEO的恶意操作,不要屏蔽无辜的站点,比如我和另外几个Z-Blog博客的地址都被这个黑帽SEO利用,结果我们的域名都被 * 屏蔽,而且该黑帽SEO还可以通过这个方法陷害更多使用Z-Blog的网站。我建议 * 可以屏蔽c_urlredirect.asp这个地址,这样通过这种方法进行发送垃圾链接就会无效了,这样就可以避免错杀无辜了。

更新:Z-Blog官方站点已经出了补丁文件,点这里访问。

0
投稿

猜你喜欢

手机版 网站运营 asp之家 www.aspxhome.com