商丘做网站,商丘网站优化,商丘网络推广,商丘网络公司
当前位置:首页 > 新闻资讯 > 建站经验 >

「西昌市网站建设」如何修复网站漏洞 全局变量覆盖漏洞的修复方式

发表日期:2019-07-26 05:43聚圣源浏览次数: 本文关键词:西昌市网站建设,如何,修复,网站,漏洞,

邻近9月尾,seacms官方升级海洋cms体系到9.95版本,我们SINE宁静在对其源码举行网站毛病检测的时间发明题目,可导致全局变量被笼罩,背景可以存在越权毛病并绕事后台宁静检测直接登录治理员账号。关于该毛病的详细详情,我们来具体的阐发一下:

seacms重要计划开辟针对付互联网的站长,以及中小企业的一个建站体系,移动互联网的快速生长,该体系可主动顺应电脑端,手机端,平板端,APP端等多个用户的端口举行适配,代码开源免费,可二次开辟,PHP+Mysql数据库架构,深受宽大网站运营者的青睐。

「西昌市网站建设」如何修复网站漏洞 全局变量覆盖漏洞的修复方式

我们SINE宁静工程师对该代码举行了具体的宁静审计,在一个变量笼罩上发明了毛病,一开始以为只有这一个地方可以导致网站毛病的产生,没成想这套体系可以导致全局性的变量笼罩产生毛病,影响范畴较大,seacms体系的宁静过滤与判定方面做的还不错,在其他地方放心可以平行越权,并直接登录背景是治理员权限。默认变量笼罩这里是做了宁静效验的功效,在设置代码里common.php的22行里可以看到对get,post,cookies哀求方法上举行了变量的宁静效验,对代码的宁静审计发明在34行里的变量笼罩值判定没有举行KEY值的宁静限定,导致此次毛病的产生,我们可以使用这个值举行全局的变量笼罩,不管是seeion照旧cfg值都可以笼罩。

「西昌市网站建设」如何修复网站漏洞 全局变量覆盖漏洞的修复方式

我们来验证下这个网站毛病,搭建当地的情况,下载seacms最新版本,并利用apache+php5.5+mysql数据库情况,我们前台注册一个平仙桃凡权限的用户,利用抓包东西对post的数据举行截取,我们来笼罩cfg_user的值来举行治理员权限的赋值操纵。我们只要赋值cfg_user不为0,就可以不停保持背景的登岸状态。我们直接去访问背景的地点,就可以直接登岸进去。截图如下:

「西昌市网站建设」如何修复网站漏洞 全局变量覆盖漏洞的修复方式

有了网站背景治理员权限,一样平常都市想上传webshell,那么背景我们在代码的宁静审计中发明有一处毛病,可以插入php语句并拼接导致可以上传网站木马文件,在水印图片笔墨功效里,吸收图片的注册值时可以插入phpinfo并实行,如下图。

「西昌市网站建设」如何修复网站漏洞 全局变量覆盖漏洞的修复方式
「西昌市网站建设」如何修复网站漏洞 全局变量覆盖漏洞的修复方式

关于海洋CMS的网站毛病检测,以及整个代码的宁静审计,重要是存在全局性的变量笼罩毛病,以及背景可以写入恶意的php语句拼接成webshell毛病。关于网站的毛病修复发起网站运营者升级seacms到最新版本,定期的调换网站背景地点,以及治理员的账号暗码,对宁静不是太懂的话,也可以找专业的网站宁静公司来处置惩罚,修复网站的毛病,海内SINE宁静,启明星辰,绿盟,都是比力不错的,网站代码每时每刻都存在着宁静毛病,能做到的就是实时的对代码举行更新补丁,大概定期的对网站举行渗出测试,网站毛病测试,确保网站宁静稳固的运行。

如没特殊注明,文章均来自网络! 转载请注明来自:http://www.jushengyuan.com.cn/news/jzjy/15175.html

网站设计案例推荐

热门文章

站长工具综合查询里面SSL证书不...

SSL证书不安全是怎么回事?但是点进去这个提示后,显示的是别人的tdk是不是被劫持或者被黑了?...

日期:2018-03-27 浏览次数:2087

简洁而实用的版权信息可增色网...

打开网站,人们自然会从上往下浏览,首先映入眼帘的一定是BANNER主视觉,然后是网站主体内容部分。相比较而言,注意到网站底部版权信息的浏览者确实不多,但这并说明网站版权信...

日期:2018-09-20 浏览次数:1910

网站设计需要注意的3点问题...

对于网站设计来讲会受到很多因素的影响,而且不同类型的网站,在设计时需要体现的元素也不一样,比如说对于一个企业网站更想体现出品牌以及产品的特点,主要是对产品、企业信...

日期:2018-02-12 浏览次数:1826

企业网站为什么要改版 改版选择...

网站改版,是每个建站企业必须面临的工作。相信也有不少站长问,已经做好的企业网站,为何还要大费周章重新进行改版设计呢?下面小编就来给大家说说,企业究竟为什么要改变,并...

日期:2018-03-26 浏览次数:1360

永城网站制作:模板建站不可不...

随着互联网建站尤其是自助建站热潮不断高涨,建站行业涌现出越来越多的自助建站平台,这些平台普遍都提供网站模板可选。...

日期:2018-04-30 浏览次数:958

相关文章

「昭平县seo」如何选择一个靠谱...

对付从事零售行业的卖家来说,再不涉足移动端电商建立就真的掉队了。但如今各大电商平台竞争猛烈,要想突出本身的上风,硬着头皮去和电商平台的大牌竞争是不明智的。不外也有...

日期:2019-11-03 浏览次数:60

「英山县seo」如何制作网站?网...

互联网期间,各行各业的企业为了顺应期间的生长,纷纷从线下转移至线上来拓展本身的业务。若想让更多人相识本身的企业,拥有一个专属网站至关紧张。网站不但可以具体先容企业...

日期:2019-11-10 浏览次数:59

「合川市网站建设」Laravel框架网...

Laravel框架是现在很多网站,APP运营者都在利用的一款开辟框架,正由于利用的网站较多,很多打击者都在不绝的对该网站举行毛病测试,我们SINE宁静在对该套体系举行毛病测试的时间,发明存...

日期:2019-10-24 浏览次数:59

「贡觉县网站建设」买虚拟主机...

买假造主机可以建站吗?怎样选择假造主机建站? 在我们购置假造主机做网站前,必要先做好计划,网站要建成什么样,用什么步伐搭建网站,网站预估有几多内容,预估会有几多访客...

日期:2019-11-13 浏览次数:59

「精河县seo」帝国CMS漏洞 后台代...

近来我们SINE宁静在对帝国CMS体系举行代码宁静审计的时间,发明该体系存在网站毛病,受影响的版本是EmpireCMS V7.5,从帝国官方网站下载到当地,我们人工对其代码举行具体的毛病检测...

日期:2019-09-10 浏览次数:62

随机推荐

「江苏做网站」建站:用户的大...

回顾中国三大黑客培训网站 探寻...

建站宝盒操作教程之如何制作微...

QQ邮箱接收不到GoDaddy邮件怎么办...

又有新功能上线?BAOCMS增加酒店...

如何利用江湖商圈O2O系统快速引...