您的位置: 旅游网 > 时尚

360网站安全检测平家发布

发布时间:2020-02-15 17:51:52

360站安全检测平家发布DEDECMS高危漏洞修复方案

4月11日消息,360站安全检测平台透露,该平台近期独家发布了DEDECMS建站系统最新版本(V5.7)的两个高危漏洞并提供了修复方案,建议广大采用DEDECMS建站系统用户尽快按照该方案完善系统漏洞,以防止站受到损失。据介绍,此次DEDECMS漏洞由技术高手c4rp3nt3rr提交给360站安全漏洞悬赏库带计划,从而推动360站安全检测平台快速发布修复方案。

据了解, DEDECMS(织梦内容管理系统)是国内最知名的PHP开源站管理系统,也是使用用户最多的PHP类CMS系统,诸多站点都是基于DEDECMS建立。360独家发布修复方案,帮助站及时完善系统,防止漏洞被利用。

据360站检测平台介绍,此次漏洞存在于DEDECMS的会员中心好友描述,以及会员中心收藏两个地方。好友描述修改处参数未过滤导致SQL注入漏洞;会员中心收藏删除功能存在SQL注入漏洞。据360安全工程师介绍,SQL注入漏洞直接威胁站服务器和数据库

,可导致数据库被黑客拖库。

据悉,360库带计划是国内首个第三方漏洞付费收录平台,以现金奖励方式征集开源建站系统漏洞,单个漏洞奖励金额最高可达1万元。自3月份库带计划启动以来,360站安全检测平台已经收集了包括DISCUZ、PHPWIND、DEDECMS、PHPCMS、SHOPEX等多个知名建站系统的漏洞,并协助厂商及时修复。

目前, 360站安全检测平台()已发布漏洞修复方案,也第一时间向注册用户发送了告警邮件,提醒站长们尽快采取措施;同时建议站站长们免费启用360站卫士(,可以有效防范各种0day漏洞攻击。

附:DEDECMS系统漏洞及修复方案:

漏洞原理

好友描述修改SQL注入漏洞

漏洞存在于/member/ajax_p文件中

好友描述修改处参数未过滤导致SQL注入漏洞

图1:好友描述修改漏洞所在函数

会员中心收藏删除SQL注入漏洞

漏洞存在/ember/inc/space_p文件中

收藏删除功能

图2:会员中心收藏删除漏洞所在函数

漏洞利用效果及危害

利用该SQL注入获取管理员账号密码

图3:漏洞利用效果

修复方案

修复方案:

修改/member/ajax_p文件中约51行处改成如下:

elseif($action == 'despost')

{

$mdescription=addslashes($mdescription);

$mid=intval($mid);

$sql = "UPDATE `#@__member_friends` SET `description`='{$mdescription}' WHERE `fid`='{$mid}' AND `mid`='{$cfg_ml-M_ID}'";//$mdescription参数未作任何过滤

echo $sql;

$dsql-ExecuteNoneQuery($sql);

$row = $dsql-GetOne("SELECT description FROM #@__member_friends WHERE `fid`='{$mid}' AND `mid`='{$cfg_ml-M_ID}'");

echo " ".$row['description']." 修改";

}

图4:修复方案图示

/ember/inc/space_p文件约306行修改成如下:

else if($action=='feeddel')

{

CheckRank(0,0);

$fid=(empty($fid))? "" : intval($fid);

$row = $dsql-GetOne("SELECT mid FROM `#@__member_feed` WHERE fid='$fid'");//直接获取$fid值带入sql语句

if($cfg_ml-M_ID!=$row['mid'])

{

ShowMsg('此动态信息不存在!', -1);

exit();

}

$inquery = "DELETE FROM `#@__member_feed` WHERE fid='$fid' AND mid='".$cfg_ml-M_ID."'";

$dsql-ExecuteNoneQuery($inquery);

ShowMsg('成功删除一条动态信息!', "p");

exit();

}

关于360站安全服务

360为站长提供免费的站安全解决方案,包括360站安全检测平台和360站卫士:

360站安全检测平台是国内首个集站漏洞检测、站挂马监控、站篡改监控于一体的免费检测平台,拥有全面的站漏洞库及蜜罐集群检测系统,能够第一时间协助站检测修复漏洞;

360站卫士则为站长免费提供站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久等服务。

常州市第四人民医院新北院区
合肥长淮甲状腺中医医院在线咨询
新疆治疗白癜风专科医院
梅州牛皮癣治疗方法
内蒙古专门治牛皮癣医院
猜你会喜欢的
猜你会喜欢的