Discuz安全之伪装后台,修改后台登陆页面信息

关于Discuz的后台地址,就是admin.php这个文件,现在改个名字,比如XXXX.php什么都可以。

然后在根目录再创建一个admin.php并写入如下代码:

if(!$_G['uid'] || !getstatus($_G['member']['allowadmincp'], 1)) {
header('Location: /');
}

保存。

大概意思是:不是管理员访问,就跳转到首页。

如果后台还是被访问,怎么办呢?

可以按以下步骤操作,实现伪装。

1.把/static/image/admincp/目录下的login_title.gif图片,替换成伪装用的图片,如下图所示。

1.打开/source/language下的lang_admincp_login.php文件,参考以下信息进行修改。Discuz安全之伪装后台,修改后台登陆页面信息_第1张图片

以上这个后台页面伪装成了支付宝的付款页面,一般人看到后,可不敢输入自己账号。(当然,也可以伪装成别的,这种方法,对人工操作肯定是有作用的,能从某种意义上实现安全效果,可参考宝塔)。

这个方法适用于3.1,3.2,3.3,3.4,Q-Blog等版本(Q-Blog是基于Dz3.4开发的个人博客版)。

最后加入提问环节(答对就告诉你Q-Blog和DiscuzQ哪里下):

1.如下图所示,dz应用中心是怎么获取客户端版本的?

Discuz安全之伪装后台,修改后台登陆页面信息_第2张图片

2.在dz中频繁出现的$_G变量是怎么回事?

你可能感兴趣的:(Discuz,WEB安全,WEB)