NBA

DedeCMS曝SQL注入漏洞360提醒

2019-07-08 19:07:19来源:励志吧0次阅读

A5交易A5任务 SEO诊断淘宝客 站长团购     近日,知名第三方漏洞报告平台乌云曝光建站工具DedeCMS系统反馈页面存在SQL注入高危漏洞( ),攻击者可以轻易获取站管理员密码,  站数据面临拖库威胁。经360站安全检测(WebScan)对注册用户的分析研究发现,86%使用DedeCMS的站存在该漏洞,危害范围十分广泛。  360站安全检测服务址:  据了解,DedeCMS(织梦内容管理系统)是国内知名的PHP类CMS系统,在站长圈内应用广泛,用户涉及企事业单位、政府机关、教育、媒体、IT及互联等多个行业,青年文摘、盐城国土资源部门站都是用DedeCMS搭建。  据360站安全检测分析,造成DedeCMS漏洞的原因在于其plus\p中的变量$typeid,由于未对参数进行初始化检测,从而导致SQL注入漏洞的产生。    图1:p中过滤不严导致漏洞  360安全专家表示,攻击者通过提交回复,无需审核即可发表回复,并执行恶意语句,窃取管理员的账号和密码,后只需进行MD5解密便可得到明文密码。经验证,有些站虽然没有启用会员模块,但依旧存在feedback页面,这导致在允许游客评论的状态下,SQL漏洞就可以被利用;而即便禁止游客评论,也可能面临安全风险。    图2:实施SQL注入攻击后,可获得管理员账号密码  目前,DedeCMS V5.7以下版本都受该漏洞影响,DedeCMS官方已提供下载补丁进行修复(,但补丁推出一段时间来,360站安全检测发现仍有大量站并未重视。对此,360站安全检测平台已向旗下用户发送警告邮件,建议广大站长及管理员尽快下载官方补丁进行修复,并使用360站安全检测和360站卫士,保护站安全。  关于360站安全服务  360为站长提供免费的站安全为近4亿中国互联用户提供领先的互联和无线安全产品及服务,覆盖率近90%。奇虎360通过提供细致、完善的平台服务以及络安全服务,以开放平台实现商业价值,与合作伙伴共同建立起多方共赢的互联生态体系。

做微信商城
微小店
分销微商城多少钱
分享到: