亲爱的阿江统计2.2用户:
阿江统计2.2已发现一个安全隐患,入侵者将可能向数据库中写入虚假的包含脚本的字串,当游客或者管理员查看统计报表时,该字串将会出现在统计报表中并导致脚本执行。如果您将数据库扩展名改为.asp,则如果入侵者向数据库中写入服务器端脚本代码,他将可以通过访问数据库文件的途径入侵网站。安装本补丁包将可防止入侵者向数据库中写入包含脚本的虚假来路。
注意:只要确保数据库扩展名为 .mdb ,不论是否安装本补丁包,入侵者均无法通过阿江统计2.2入侵您的网站。
请立即从以下地址下载补丁包并安装:
使用压缩包中的三个文件覆盖原有文件即可。
此补丁包同时解决ie7中左侧导航无法打开的问题。
安全建议:
1、请确保阿江统计数据库文件扩展名为 .mdb ,这样即使入侵者此前已经向数据库中写入服务器端脚本也无法运行它。
2、请定期使用“压缩/修复数据库”功能将数据库文件改名。
3、备份您的统计系统代码。如果因为其它原因导致您的网站被入侵,请在恢复网站之后用正确的统计系统文件覆盖服务器上的文件,并删除统计系统文件夹中多余的文件,以防止入侵者修改统计系统代码以将后门隐藏其中。
4、安装本补丁之后,即使数据库扩展名改为 .asp 入侵者仍然无法通过阿江统计入侵,但是为了避免未知的安全问题,建议您仍然使用 .mdb 的数据库扩展名,这样更加安全。
再次感谢您对阿江统计的支持。因没有足够的精力维护两套源码,阿江统计已停止开发,欢迎使用功能更多且免费的我要啦免费统计服务:
阿江
2007-12-14
A5创业网 版权所有