日韩欧美综合-国产色影院-黄色欧美大片-奶茶视频黄色-无码粉嫩虎白一线天在线观看-亚洲天堂手机在线-亚洲欧美日本在线-日本特级黄色-亚洲tv在线-婷婷激情综合-亚洲精品无-成人免费黄色-亚洲色图久久久-色噜噜狠狠狠综合曰曰曰-精品久久久精品-蜜臀av在线播放-国产美女高潮流白浆视频

　　樂購科技 日前，360網(wǎng)站安全檢測平臺獨(dú)家發(fā)現(xiàn)PHPCMSV9版“注入”漏洞，并將漏洞信息通報(bào)PHPCMS官方，協(xié)助其快速推出補(bǔ)丁。據(jù)360網(wǎng)站安全檢測平臺分析，此前所有使用PHPCMSV9搭建的網(wǎng)站均存在SQL注入漏洞，可能使黑客利用漏洞篡改網(wǎng)頁、竊取數(shù)據(jù)庫，甚至控制服務(wù)器。鑒于該漏洞影響嚴(yán)重，360已第一時(shí)間向網(wǎng)站安全檢測用戶發(fā)出告警郵件，360網(wǎng)站衛(wèi)士也增加了防護(hù)規(guī)則。

　　360網(wǎng)站安全檢測平臺服務(wù)網(wǎng)址：http://webscan.#

　　360獨(dú)家發(fā)現(xiàn)的PHPCMSV9漏洞：http://bbs.webscan.#/forum.php?mod=viewthread&tid=481

　　PHPCMSV9版于2010年推出，是應(yīng)用較為廣泛的建站工具。第三方數(shù)據(jù)顯示，目前使用PHPCMSV9搭建的網(wǎng)站數(shù)量多達(dá)數(shù)十萬個(gè)，包括聯(lián)合國兒童基金會等機(jī)構(gòu)網(wǎng)站，以及大批企業(yè)網(wǎng)站均使用PHPCMSV9搭建和維護(hù)。

　　樂購網(wǎng)了解（www.sh-jijian.com）據(jù)360安全工程師分析，SQL注入漏洞存在于PHPCMSV9版本（包括GBK和UTF8版）的poster_click函數(shù)，攻擊者可以控制HTTP_REFERER（header的一部分），將REFERER值直接帶入數(shù)據(jù)庫，而且不受magic_quotes_gpc()控制，這導(dǎo)致SQL注入漏洞的產(chǎn)生。

　　圖1：黑客可控制HTTP_REFERER語句實(shí)施SQL注入

　　經(jīng)過對PHPCMS官方DEMO站點(diǎn)的測試，利用漏洞，攻擊者可以構(gòu)造SQL語句對DEMO網(wǎng)站的MySQL數(shù)據(jù)庫進(jìn)行查詢，并能夠?qū)嵤?ldquo;拖庫”，甚至將數(shù)據(jù)庫所在服務(wù)器變?yōu)榭�儡主機(jī)。

　　圖2：官方的DEMO站點(diǎn)測試結(jié)果

　　圖3：構(gòu)造SQL語句查詢網(wǎng)站的MySQL數(shù)據(jù)庫版本，甚至可以導(dǎo)致網(wǎng)站數(shù)據(jù)庫被拖庫

　　由于全部PHPCMSV9用戶均受漏洞影響，360網(wǎng)站安全工程師強(qiáng)烈建議用戶立刻下載PHPCMSV9官方于12月11日推出的全新升級程序。或者，用戶也可以下載360網(wǎng)站安全檢測提供的防護(hù)腳本，能夠快速修復(fù)漏洞防御黑客攻擊。

　　PHPCMSV9官方安全更新：http://download.phpcms.cn/v9/9.0/patch/

　　360網(wǎng)站安全檢測防護(hù)腳本：http://webscan.#/down/php360.zip

　　關(guān)于360網(wǎng)站安全服務(wù)

　　360為站長提供免費(fèi)的網(wǎng)站安全解決方案，包括360網(wǎng)站安全檢測平臺和360網(wǎng)站衛(wèi)士：

　　360網(wǎng)站安全檢測平臺是國內(nèi)首個(gè)集網(wǎng)站漏洞檢測、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測平臺，擁有全面的網(wǎng)站漏洞庫及蜜罐集群檢測系統(tǒng)，能夠第一時(shí)間協(xié)助網(wǎng)站檢測修復(fù)漏洞；

　　360網(wǎng)站衛(wèi)士則為站長免費(fèi)提供網(wǎng)站防火墻、DDOS保護(hù)、CC保護(hù)、智能DNS解析、盜鏈保護(hù)、頁面壓縮、緩存加速和永久在線等服務(wù)。分享/17bianji.com)

　　推薦閱讀

　　360SyScan火熱進(jìn)行 微軟專家稱Office2013將不支持XP

12月13日，360SyScan國際安全會議（http://www.syscan360.org/）首次在北京舉行。微軟Office安全測試負(fù)責(zé)人TomGallagher發(fā)表《新版Office中的安全工程和產(chǎn)品改進(jìn)》主題演講，與參會者分享新版Office的安全特性改進(jìn)。>>>詳細(xì)閱讀

本文標(biāo)題：360協(xié)助PHPCMS修復(fù)V9版SQL注入漏洞

地址：http://www.sh-jijian.com/a/11/20121214/88492.html

 1/2    1  2 下一頁