hMailServer的综合讨论。包括安装、使用、webmail等问题。
版主: jimmy, Hsia
-
Hsia
- 网站管理员
- 帖子: 335
- 注册: 2014年11月26日, 12:41
- 地址: 上海
-
联系:
帖子
由 Hsia »
AfterLogic WebMail Pro的案例:
根据自己的域名访问这个地址,会看到数据库密码。
代码: 全选
http://**.**.**.**/data/settings/settings.xml
在没有解决漏洞的情况下,建议下架。
漏洞参考:
http://www.wooyun.org/bugs/wooyun-2015-0128600
apache 修复方法:
mail 根目录 新建inc_settings_path.php
放入代码:
代码: 全选
<?php
$dataPath = '/new/location/of/data';
$dataPath = 这里测试了下,填写绝对地址有效。
然后我还修改了 data下的.htaccess 修改为:
代码: 全选
location ^~ /data {
deny all;
}
上面的意思是这个data的目录改变了,别人不能访问到。
-
e09500259c60
- Level 1
- 帖子: 2
- 注册: 2016年5月13日, 16:53
帖子
由 e09500259c60 »
我用的是 nginx ,可以用禁止访问文件的方式屏蔽。
代码: 全选
location ~ /data/settings/settings.xml {
return 404;
}
IIS怎么设置就不知道了,虽然服务器是windows,但并没用过IIS。
-
熄灭的火焰
- Level 2
- 帖子: 5
- 注册: 2016年8月17日, 12:58
帖子
由 熄灭的火焰 »
iis7.5配置web.config。如果有其它规则,就单独挑选中间rules部分
<?xml version="1.0" encoding="UTF-8"?>
<configuration>
<system.webServer>
<rewrite>
<rules>
<rule name="data" stopProcessing="true">
<match url="^data*" />
<action type="Redirect" url="
http://mail.xxxx.com" />
</rule>
</rules>
</rewrite>
</system.webServer>
</configuration>
