發(fā)布時(shí)間:2020-07-02
欄目:其他
日前,360網(wǎng)站安全檢測(cè)平臺(tái)獨(dú)家發(fā)現(xiàn)PHPCMS V9版“注入”漏洞,并將漏洞信息通報(bào)PHPCMS官方,協(xié)助其快速推出補(bǔ)丁。據(jù)360網(wǎng)站安全檢測(cè)平臺(tái)分析,此前所有使用PHPCMS V9搭建的網(wǎng)站均存在SQL注入漏洞,可能使黑客利用漏洞篡改網(wǎng)頁(yè)、竊取數(shù)據(jù)庫(kù),甚至控制服務(wù)器。鑒于該漏洞影響嚴(yán)重,360已第一時(shí)間向網(wǎng)站安全檢測(cè)用戶發(fā)出告警郵件,360網(wǎng)站衛(wèi)士也增加了防護(hù)規(guī)則。
360網(wǎng)站安全檢測(cè)平臺(tái)服務(wù)網(wǎng)址:http://webscan.360.cn
360獨(dú)家發(fā)現(xiàn)的PHPCMS V9漏洞:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=481
PHPCMS V9版于2010年推出,是應(yīng)用較為廣泛的建站工具。第三方數(shù)據(jù)顯示,目前使用PHPCMS V9搭建的網(wǎng)站數(shù)量多達(dá)數(shù)十萬(wàn)個(gè),包括聯(lián)合國(guó)兒童基金會(huì)等機(jī)構(gòu)網(wǎng)站,以及大批企業(yè)網(wǎng)站均使用PHPCMS V9搭建和維護(hù)PHPCMS批量更新文章 。
據(jù)360安全工程師分析,SQL注入漏洞存在于PHPCMS V9版本(包括GBK和UTF8版)的poster_click函數(shù),攻擊者可以控制HTTP_REFERER(header的一部分),將REFERER值直接帶入數(shù)據(jù)庫(kù),而且不受magic_quotes_gpc()控制,這導(dǎo)致SQL注入漏洞的產(chǎn)生。
圖1:黑客可控制HTTP_REFERER語(yǔ)句實(shí)施SQL注入
經(jīng)過對(duì)PHPCMS官方DEMO站點(diǎn)的測(cè)試,利用漏洞,攻擊者可以構(gòu)造SQL語(yǔ)句對(duì)DEMO網(wǎng)站的MySQL數(shù)據(jù)庫(kù)進(jìn)行查詢,并能夠?qū)嵤?ldquo;拖庫(kù)”,甚至將數(shù)據(jù)庫(kù)所在服務(wù)器變?yōu)榭苤鳈C(jī)。
圖2:官方的DEMO站點(diǎn)測(cè)試結(jié)果
圖3:構(gòu)造SQL語(yǔ)句查詢網(wǎng)站的MySQL數(shù)據(jù)庫(kù)版本,甚至可以導(dǎo)致網(wǎng)站數(shù)據(jù)庫(kù)被拖庫(kù)
由于全部PHPCMS V9用戶均受漏洞影響,360網(wǎng)站安全工程師強(qiáng)烈建議用戶立刻下載PHPCMS V9官方于12月11日推出的全新升級(jí)程序。或者,用戶也可以下載360網(wǎng)站安全檢測(cè)提供的防護(hù)腳本,能夠快速修復(fù)漏洞防御黑客攻擊。
PHPCMS V9官方安全更新:http://download.phpcms.cn/v9/9.0/patch/
360網(wǎng)站安全檢測(cè)防護(hù)腳本:http://webscan.360.cn/down/php360.zip
PHPCMS批量添加欄目關(guān)于360網(wǎng)站安全服務(wù)
360為站長(zhǎng)提供免費(fèi)的網(wǎng)站安全解決方案,包括360網(wǎng)站安全檢測(cè)平臺(tái)和360網(wǎng)站衛(wèi)士:
360網(wǎng)站安全檢測(cè)平臺(tái)是國(guó)內(nèi)首個(gè)集網(wǎng)站漏洞檢測(cè)、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測(cè)平臺(tái),擁有全面的網(wǎng)站漏洞庫(kù)及蜜罐集群檢測(cè)系統(tǒng),能夠第一時(shí)間協(xié)助網(wǎng)站檢測(cè)修復(fù)漏洞;
PHPCMS批量添加產(chǎn)品 360網(wǎng)站衛(wèi)士則為站長(zhǎng)免費(fèi)提供網(wǎng)站防火墻、DDOS保護(hù)、CC保護(hù)、智能DNS解析、盜鏈保護(hù)、頁(yè)面壓縮、緩存加速和永久在線等服務(wù)。
關(guān)于奇虎360科技有限公司
奇虎360(NYSE:QIHU)是中國(guó)第一大互聯(lián)網(wǎng)安全服務(wù)提供商。按照用戶數(shù)量計(jì)算,目前奇虎360是中國(guó)第三大互聯(lián)網(wǎng)公司。作為“免費(fèi)安全”的首創(chuàng)者PHPCMS批量助手,奇虎360為近4億中國(guó)互聯(lián)網(wǎng)用戶提供領(lǐng)先的互聯(lián)網(wǎng)和無(wú)線安全產(chǎn)品及服務(wù),覆蓋率近90%。奇虎360通過提供細(xì)致、完善的平臺(tái)服務(wù)以及網(wǎng)絡(luò)安全服務(wù)PHPCMS批量上傳內(nèi)容,以開放平臺(tái)實(shí)現(xiàn)商業(yè)價(jià)值,與合作伙伴共同建立起多方
文章地址:http://www.meyanliao.com/article/other/xzPHPCMSxfVbSQLzrld.html

- 1通王CMS 2.0簡(jiǎn)介
- 2黑帽網(wǎng)站排名檢測(cè)
- 3MySQL中經(jīng)典的too many connection怎么破
- 4網(wǎng)易郵箱洪陸駕:反垃圾郵件需集合全球力量
- 5站群友鏈換鏈神器
- 6云勢(shì)軟件VirgoEDC助力安徽萬(wàn)邦、迪時(shí)咨詢等公司臨床試驗(yàn)數(shù)據(jù)采集智能化
- 7Authorize 屬性通過聲明的方式保護(hù)控制器或其部分方法
- 8域名是稀有資源,好的域名,在一定時(shí)期內(nèi)會(huì)越來越升值
- 9解析常見的PHP緩存技術(shù)有哪些
- 10對(duì)ASP.NET程序員非常有用工具