360協助PHPCMS修復V9版SQL注入漏洞

　　日前，360網站安全檢測平臺獨家發現PHPCMS V9版“注入”漏洞，并將漏洞信息通報PHPCMS官方，協助其快速推出補丁。據360網站安全檢測平臺分析，此前所有使用PHPCMS V9搭建的網站均存在SQL注入漏洞，可能使黑客利用漏洞篡改網頁、竊取數據庫，甚至控制服務器。鑒于該漏洞影響嚴重，360已第一時間向網站安全檢測用戶發出告警郵件，360網站衛士也增加了防護規則。

　　360網站安全檢測平臺服務網址：http://webscan.360.cn

　　360獨家發現的PHPCMS V9漏洞：http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=481

　　PHPCMS V9版于2010年推出，是應用較為廣泛的建站工具。第三方數據顯示，目前使用PHPCMS V9搭建的網站數量多達數十萬個，包括聯合國兒童基金會等機構網站，以及大批企業網站均使用PHPCMS V9搭建和維護PHPCMS批量更新文章 。

　　據360安全工程師分析，SQL注入漏洞存在于PHPCMS V9版本（包括GBK和UTF8版）的poster_click函數，攻擊者可以控制HTTP_REFERER（header的一部分），將REFERER值直接帶入數據庫，而且不受magic_quotes_gpc()控制，這導致SQL注入漏洞的產生。

　　圖1：黑客可控制HTTP_REFERER語句實施SQL注入

　　經過對PHPCMS官方DEMO站點的測試，利用漏洞，攻擊者可以構造SQL語句對DEMO網站的MySQL數據庫進行查詢，并能夠實施“拖庫”，甚至將數據庫所在服務器變為傀儡主機。

　　圖2：官方的DEMO站點測試結果

　　圖3：構造SQL語句查詢網站的MySQL數據庫版本，甚至可以導致網站數據庫被拖庫

　　由于全部PHPCMS V9用戶均受漏洞影響，360網站安全工程師強烈建議用戶立刻下載PHPCMS V9官方于12月11日推出的全新升級程序。或者，用戶也可以下載360網站安全檢測提供的防護腳本，能夠快速修復漏洞防御黑客攻擊。

　　PHPCMS V9官方安全更新：http://download.phpcms.cn/v9/9.0/patch/

　　360網站安全檢測防護腳本：http://webscan.360.cn/down/php360.zip

　　關于360網站安全服務

　　360為站長提供免費的網站安全解決方案，包括360網站安全檢測平臺和360網站衛士：

　　360網站安全檢測平臺是國內首個集網站漏洞檢測、網站掛馬監控、網站篡改監控于一體的免費檢測平臺，擁有全面的網站漏洞庫及蜜罐集群檢測系統，能夠第一時間協助網站檢測修復漏洞；

PHPCMS批量添加產品 　　360網站衛士則為站長免費提供網站防火墻、DDOS保護、CC保護、智能DNS解析、盜鏈保護、頁面壓縮、緩存加速和永久在線等服務。

　　關于奇虎360科技有限公司

　　奇虎360(NYSE:QIHU)是中國第一大互聯網安全服務提供商。按照用戶數量計算，目前奇虎360是中國第三大互聯網公司。作為“免費安全”的首創者PHPCMS批量助手，奇虎360為近4億中國互聯網用戶提供領先的互聯網和無線安全產品及服務，覆蓋率近90%。奇虎360通過提供細致、完善的平臺服務以及網絡安全服務PHPCMS批量上傳內容，以開放平臺實現商業價值，與合作伙伴共同建立起多方