商丘做网站,商丘网站优化,商丘网络推广,商丘网络公司
当前位置:首页 > 新闻资讯 > 建站经验 >

phpcms网站漏洞修复之远程代码写入缓存漏洞利用

发表日期:2018-12-04 15:11聚圣源浏览次数: 本文关键词:phpcms,网站,漏洞,修复,之,远程,代码,写入,缓存,

SINE宁静公司在对phpcms2008网站代码举行宁静检测与审计的时间发明该phpcms存在长途代码写入缓存文件的一个SQL注入毛病,该phpcms毛病危害较大,可以导致网站被黑,以及办事器遭受黑客的打击,关于这次发明的phpcms毛病细节以及怎样使用提权我们来具体分析。

phpcms2008是海内深受站长建站利用的一个内容CMS治理体系,phpcms的开源话,免费,动态,静态天生,API接口,模板免费下载,自界说内容计划,可提供步伐的二次开辟与计划,大大方便了整个互联网站长的建站利用与优化。整个phpcms接纳PHP+Mysql数据库作为架构,稳固,并发高,承载量大。

phpcms2008毛病详情

在对代码的宁静检测与审计当中,发明type.php文件代码存在毛病,代码如下:

phpcms网站漏洞修复之远程代码写入缓存漏洞利用

以上代码if(empty($template)) 在举行变量界说的时间可以跟进来看下,通过extract举行变量的声明与注册,假如当前的注册已经有了,就不会笼罩当前已有的声明,导致可以变量伪造与注入。

我们再来跟踪该代码找到template函数,看到调用到了include目次下的global.func.php文件,该代码里的function template会对通报过来的界说值举行判定,默认TPL_REFRESH是为1的参数值,也就是说主动开启了模板缓存功效。当必要更新缓存的时间就会先判定有没有变量注册,假如有就会举行更新缓存。

该毛病使用的就是缓存的更新,将网站木马代码插入到缓存文件当中去。可以看出$template没有举行过滤就可以直接写入到缓存模板中,我们可以指定TAG内容,post提交已往,如下代码:

phpcms网站漏洞修复之远程代码写入缓存漏洞利用

我们在本身的当地电脑搭建了一套phpcms2008体系的情况,举行毛病测试,提交post参数已往,我们看下当地的毛病效果,可以实行phpinfo代码。也可以插入一句话木马后门举行上传webshell。

phpcms网站漏洞修复之远程代码写入缓存漏洞利用

phpcms毛病修复与宁静发起

现在phpcms官方已经修复该毛病,请各大网站运营者尽快升级phpcms2008到最新版本,有些二次开辟的网站可以针对缓存目次举行宁静限定,克制PHP脚本文件的实行,data,cache_template目次举行宁静加固摆设,对网站上的毛病举行修复,大概是对网站宁静防护参数举行重新设置,使他切合其时的网站情况。假如不懂怎样修复网站毛病,也可以找专业的网站宁静公司来处置惩罚,海内也就Sinesafe和绿盟、启明星辰等宁静公司比力专业.

如没特殊注明,文章均来自网络! 转载请注明来自:http://www.jushengyuan.com.cn/news/jzjy/11853.html

网站设计案例推荐

热门文章

站长工具综合查询里面SSL证书不...

SSL证书不安全是怎么回事?但是点进去这个提示后,显示的是别人的tdk是不是被劫持或者被黑了?...

日期:2018-03-27 浏览次数:1933

简洁而实用的版权信息可增色网...

打开网站,人们自然会从上往下浏览,首先映入眼帘的一定是BANNER主视觉,然后是网站主体内容部分。相比较而言,注意到网站底部版权信息的浏览者确实不多,但这并说明网站版权信...

日期:2018-09-20 浏览次数:1889

网站设计需要注意的3点问题...

对于网站设计来讲会受到很多因素的影响,而且不同类型的网站,在设计时需要体现的元素也不一样,比如说对于一个企业网站更想体现出品牌以及产品的特点,主要是对产品、企业信...

日期:2018-02-12 浏览次数:1809

企业网站为什么要改版 改版选择...

网站改版,是每个建站企业必须面临的工作。相信也有不少站长问,已经做好的企业网站,为何还要大费周章重新进行改版设计呢?下面小编就来给大家说说,企业究竟为什么要改变,并...

日期:2018-03-26 浏览次数:1345

永城网站制作:模板建站不可不...

随着互联网建站尤其是自助建站热潮不断高涨,建站行业涌现出越来越多的自助建站平台,这些平台普遍都提供网站模板可选。...

日期:2018-04-30 浏览次数:940

相关文章

PbootCMS网站漏洞检测对获取管理...

PbootCMS是网站常用的一款CMS体系,是由海内闻名步伐开辟商翔云科技研发的一套网站CMS体系,免费开源,扩展性较高,利用的企业许多但是制止不了网站存在毛病,SINE宁静对其代码举行...

日期:2018-12-08 浏览次数:76

建设一个持续抓取潜在客户的网...

之前谈到《怎样做一个连续赢利的网站:计谋和定位》,实在内里另有很详细的一些事情要做,建立一个可以或许源源不停抓取潜伏客户的网站预备事情,也就是在运营一个产物大概办...

日期:2018-12-08 浏览次数:68

struts2架构网站漏洞修复详情与利...

struts2从开辟出来到如今,许多互联网企业,公司,平台都在利用apache struts2体系来开辟网站,以及应用体系,这几年来由于利用较多,被打击者发掘出来的struts2毛病也越来越,从最一开...

日期:2018-12-04 浏览次数:68

是什么使网站建设价格弹性大...

互联网不停处于递增生长状态,留意到网站建立的企业越来越多。许多还没有网站的企业都计划建立网站,但以为建站代价弹性太大了,少则几百,多则上万,是什么使网站建立代价弹...

日期:2018-11-30 浏览次数:83

比玩拼图还容易 云指建站让你...

模板建站,机动度低、扩展性差是众所周知的事变,建出来的网站,如出一辙,基础卖不了高价。 以是,许多建站者会选择模块建站,机动性高,能实现本性化结果,建出来的网站较模...

日期:2018-11-22 浏览次数:77

随机推荐

需求:我只是想在页面上加个链...

独立主机租用注意事项...

浅析如何购买模板才不会上当受...

互联网+不是口头说说 优秀方案...

DeDeCMS网站被挂马了,怎么办?...

不会推广的设计师不是好站长...