返回頂部
關(guān)閉軟件導(dǎo)航
位置:首頁(yè) > 資訊 > 其他>360協(xié)助PHPCMS修復(fù)V9版SQL注入漏洞

  日前,360網(wǎng)站安全檢測(cè)平臺(tái)獨(dú)家發(fā)現(xiàn)PHPCMS V9版“注入”漏洞,并將漏洞信息通報(bào)PHPCMS官方,協(xié)助其快速推出補(bǔ)丁。據(jù)360網(wǎng)站安全檢測(cè)平臺(tái)分析,此前所有使用PHPCMS V9搭建的網(wǎng)站均存在SQL注入漏洞,可能使黑客利用漏洞篡改網(wǎng)頁(yè)、竊取數(shù)據(jù)庫(kù),甚至控制服務(wù)器。鑒于該漏洞影響嚴(yán)重,360已第一時(shí)間向網(wǎng)站安全檢測(cè)用戶發(fā)出告警郵件,360網(wǎng)站衛(wèi)士也增加了防護(hù)規(guī)則。

  360網(wǎng)站安全檢測(cè)平臺(tái)服務(wù)網(wǎng)址:http://webscan.360.cn

  360獨(dú)家發(fā)現(xiàn)的PHPCMS V9漏洞:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=481

  PHPCMS V9版于2010年推出,是應(yīng)用較為廣泛的建站工具。第三方數(shù)據(jù)顯示,目前使用PHPCMS V9搭建的網(wǎng)站數(shù)量多達(dá)數(shù)十萬(wàn)個(gè),包括聯(lián)合國(guó)兒童基金會(huì)等機(jī)構(gòu)網(wǎng)站,以及大批企業(yè)網(wǎng)站均使用PHPCMS V9搭建和維護(hù)PHPCMS批量更新文章 。

  據(jù)360安全工程師分析,SQL注入漏洞存在于PHPCMS V9版本(包括GBK和UTF8版)的poster_click函數(shù),攻擊者可以控制HTTP_REFERER(header的一部分),將REFERER值直接帶入數(shù)據(jù)庫(kù),而且不受magic_quotes_gpc()控制,這導(dǎo)致SQL注入漏洞的產(chǎn)生。

  圖1:黑客可控制HTTP_REFERER語(yǔ)句實(shí)施SQL注入

  經(jīng)過對(duì)PHPCMS官方DEMO站點(diǎn)的測(cè)試,利用漏洞,攻擊者可以構(gòu)造SQL語(yǔ)句對(duì)DEMO網(wǎng)站的MySQL數(shù)據(jù)庫(kù)進(jìn)行查詢,并能夠?qū)嵤?ldquo;拖庫(kù)”,甚至將數(shù)據(jù)庫(kù)所在服務(wù)器變?yōu)榭苤鳈C(jī)。

  圖2:官方的DEMO站點(diǎn)測(cè)試結(jié)果

  圖3:構(gòu)造SQL語(yǔ)句查詢網(wǎng)站的MySQL數(shù)據(jù)庫(kù)版本,甚至可以導(dǎo)致網(wǎng)站數(shù)據(jù)庫(kù)被拖庫(kù)

  由于全部PHPCMS V9用戶均受漏洞影響,360網(wǎng)站安全工程師強(qiáng)烈建議用戶立刻下載PHPCMS V9官方于12月11日推出的全新升級(jí)程序。或者,用戶也可以下載360網(wǎng)站安全檢測(cè)提供的防護(hù)腳本,能夠快速修復(fù)漏洞防御黑客攻擊。

  PHPCMS V9官方安全更新:http://download.phpcms.cn/v9/9.0/patch/

  360網(wǎng)站安全檢測(cè)防護(hù)腳本:http://webscan.360.cn/down/php360.zip

PHPCMS批量添加欄目

  關(guān)于360網(wǎng)站安全服務(wù)

  360為站長(zhǎng)提供免費(fèi)的網(wǎng)站安全解決方案,包括360網(wǎng)站安全檢測(cè)平臺(tái)和360網(wǎng)站衛(wèi)士:

  360網(wǎng)站安全檢測(cè)平臺(tái)是國(guó)內(nèi)首個(gè)集網(wǎng)站漏洞檢測(cè)、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測(cè)平臺(tái),擁有全面的網(wǎng)站漏洞庫(kù)及蜜罐集群檢測(cè)系統(tǒng),能夠第一時(shí)間協(xié)助網(wǎng)站檢測(cè)修復(fù)漏洞;

PHPCMS批量添加產(chǎn)品   360網(wǎng)站衛(wèi)士則為站長(zhǎng)免費(fèi)提供網(wǎng)站防火墻、DDOS保護(hù)、CC保護(hù)、智能DNS解析、盜鏈保護(hù)、頁(yè)面壓縮、緩存加速和永久在線等服務(wù)。

  關(guān)于奇虎360科技有限公司

  奇虎360(NYSE:QIHU)是中國(guó)第一大互聯(lián)網(wǎng)安全服務(wù)提供商。按照用戶數(shù)量計(jì)算,目前奇虎360是中國(guó)第三大互聯(lián)網(wǎng)公司。作為“免費(fèi)安全”的首創(chuàng)者PHPCMS批量助手,奇虎360為近4億中國(guó)互聯(lián)網(wǎng)用戶提供領(lǐng)先的互聯(lián)網(wǎng)和無(wú)線安全產(chǎn)品及服務(wù),覆蓋率近90%。奇虎360通過提供細(xì)致、完善的平臺(tái)服務(wù)以及網(wǎng)絡(luò)安全服務(wù)PHPCMS批量上傳內(nèi)容,以開放平臺(tái)實(shí)現(xiàn)商業(yè)價(jià)值,與合作伙伴共同建立起多方

如果您覺得 360協(xié)助PHPCMS修復(fù)V9版SQL注入漏洞 這篇文章對(duì)您有用,請(qǐng)分享給您的好友,謝謝
文章地址:http://www.meyanliao.com/article/other/xzPHPCMSxfVbSQLzrld.html
解放雙手無(wú)盡可能,有問題添加天線貓微信
主站蜘蛛池模板: 亚洲精品无码成人片久久不卡 | 中文字幕无码日韩专区| 亚洲大尺度无码无码专线一区 | 国产亚洲?V无码?V男人的天堂 | 中文无码人妻有码人妻中文字幕| 亚洲AV永久无码精品水牛影视| 久久无码av亚洲精品色午夜| 久久老子午夜精品无码| 无码专区永久免费AV网站| 亚洲av无码不卡一区二区三区| 国产综合无码一区二区色蜜蜜 | 久久无码精品一区二区三区| 免费无码成人AV在线播放不卡| 永久无码精品三区在线4| 无码毛片AAA在线| 亚洲国产精品无码久久久蜜芽| 精品无码久久久久久久久| 99久久人妻无码精品系列蜜桃| 亚洲精品无码久久久影院相关影片| 无码国产69精品久久久久孕妇 | 精品一区二区三区无码免费视频| 午夜精品久久久久久久无码| 亚洲AV无码AV吞精久久| 99久久人妻无码精品系列| 无码人妻精品一区二区三区东京热| yy111111少妇影院里无码| 无码毛片一区二区三区视频免费播放| 亚洲精品无码久久久久A片苍井空 亚洲精品无码久久久久YW | 亚洲精品无码久久毛片| 国产精品无码av天天爽| 狼人无码精华AV午夜精品| 国产乱子伦精品免费无码专区| 加勒比无码一区二区三区| 狠狠久久精品中文字幕无码| 曰韩无码二三区中文字幕| 久久久91人妻无码精品蜜桃HD | 亚洲VA成无码人在线观看天堂| 亚洲综合无码精品一区二区三区| 国产丰满乱子伦无码专区| 国产精品99精品无码视亚| 精品无码无人网站免费视频 |