樂購科技 日前,360網站安全檢測平臺獨家發現PHPCMSV9版“注入”漏洞,并將漏洞信息通報PHPCMS官方,協助其快速推出補丁。據360網站安全檢測平臺分析,此前所有使用PHPCMSV9搭建的網站均存在SQL注入漏洞,可能使黑客利用漏洞篡改網頁、竊取數據庫,甚至控制服務器。鑒于該漏洞影響嚴重,360已第一時間向網站安全檢測用戶發出告警郵件,360網站衛士也增加了防護規則。
360網站安全檢測平臺服務網址:http://webscan.360.cn
360獨家發現的PHPCMSV9漏洞:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=481
PHPCMSV9版于2010年推出,是應用較為廣泛的建站工具。第三方數據顯示,目前使用PHPCMSV9搭建的網站數量多達數十萬個,包括聯合國兒童基金會等機構網站,以及大批企業網站均使用PHPCMSV9搭建和維護。
樂購網了解(www.xglongwei.com)據360安全工程師分析,SQL注入漏洞存在于PHPCMSV9版本(包括GBK和UTF8版)的poster_click函數,攻擊者可以控制HTTP_REFERER(header的一部分),將REFERER值直接帶入數據庫,而且不受magic_quotes_gpc()控制,這導致SQL注入漏洞的產生。
圖1:黑客可控制HTTP_REFERER語句實施SQL注入
經過對PHPCMS官方DEMO站點的測試,利用漏洞,攻擊者可以構造SQL語句對DEMO網站的MySQL數據庫進行查詢,并能夠實施“拖庫”,甚至將數據庫所在服務器變為傀儡主機。
圖2:官方的DEMO站點測試結果
圖3:構造SQL語句查詢網站的MySQL數據庫版本,甚至可以導致網站數據庫被拖庫
由于全部PHPCMSV9用戶均受漏洞影響,360網站安全工程師強烈建議用戶立刻下載PHPCMSV9官方于12月11日推出的全新升級程序。或者,用戶也可以下載360網站安全檢測提供的防護腳本,能夠快速修復漏洞防御黑客攻擊。
PHPCMSV9官方安全更新:http://download.phpcms.cn/v9/9.0/patch/
360網站安全檢測防護腳本:http://webscan.360.cn/down/php360.zip
關于360網站安全服務
360為站長提供免費的網站安全解決方案,包括360網站安全檢測平臺和360網站衛士:
360網站安全檢測平臺是國內首個集網站漏洞檢測、網站掛馬監控、網站篡改監控于一體的免費檢測平臺,擁有全面的網站漏洞庫及蜜罐集群檢測系統,能夠第一時間協助網站檢測修復漏洞;
360網站衛士則為站長免費提供網站防火墻、DDOS保護、CC保護、智能DNS解析、盜鏈保護、頁面壓縮、緩存加速和永久在線等服務。分享/17bianji.com)
推薦閱讀
360SyScan火熱進行 微軟專家稱Office2013將不支持XP
12月13日,360SyScan國際安全會議(http://www.syscan360.org/)首次在北京舉行。微軟Office安全測試負責人TomGallagher發表《新版Office中的安全工程和產品改進》主題演講,與參會者分享新版Office的安全特性改進。>>>詳細閱讀
地址:http://www.xglongwei.com/a/11/20121214/88492.html
網友點評
精彩導讀
科技快報
品牌展示