樂(lè)購(gòu)科技 日前，360網(wǎng)站安全檢測(cè)平臺(tái)獨(dú)家發(fā)現(xiàn)PHPCMSV9版“注入”漏洞，并將漏洞信息通報(bào)PHPCMS官方，協(xié)助其快速推出補(bǔ)丁。據(jù)360網(wǎng)站安全檢測(cè)平臺(tái)分析，此前所有使用PHPCMSV9搭建的網(wǎng)站均存在SQL注入漏洞，可能使黑客利用漏洞篡改網(wǎng)頁(yè)、竊取數(shù)據(jù)庫(kù)，甚至控制服務(wù)器。鑒于該漏洞影響嚴(yán)重，360已第一時(shí)間向網(wǎng)站安全檢測(cè)用戶發(fā)出告警郵件，360網(wǎng)站衛(wèi)士也增加了防護(hù)規(guī)則。

　　360網(wǎng)站安全檢測(cè)平臺(tái)服務(wù)網(wǎng)址：http://webscan.360.cn

　　360獨(dú)家發(fā)現(xiàn)的PHPCMSV9漏洞：http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=481

　　PHPCMSV9版于2010年推出，是應(yīng)用較為廣泛的建站工具。第三方數(shù)據(jù)顯示，目前使用PHPCMSV9搭建的網(wǎng)站數(shù)量多達(dá)數(shù)十萬(wàn)個(gè)，包括聯(lián)合國(guó)兒童基金會(huì)等機(jī)構(gòu)網(wǎng)站，以及大批企業(yè)網(wǎng)站均使用PHPCMSV9搭建和維護(hù)。

　　樂(lè)購(gòu)網(wǎng)了解（m.sdlzkt.com）據(jù)360安全工程師分析，SQL注入漏洞存在于PHPCMSV9版本（包括GBK和UTF8版）的poster_click函數(shù)，攻擊者可以控制HTTP_REFERER（header的一部分），將REFERER值直接帶入數(shù)據(jù)庫(kù)，而且不受magic_quotes_gpc()控制，這導(dǎo)致SQL注入漏洞的產(chǎn)生。

　　圖1：黑客可控制HTTP_REFERER語(yǔ)句實(shí)施SQL注入

　　經(jīng)過(guò)對(duì)PHPCMS官方DEMO站點(diǎn)的測(cè)試，利用漏洞，攻擊者可以構(gòu)造SQL語(yǔ)句對(duì)DEMO網(wǎng)站的MySQL數(shù)據(jù)庫(kù)進(jìn)行查詢，并能夠?qū)嵤?ldquo;拖庫(kù)”，甚至將數(shù)據(jù)庫(kù)所在服務(wù)器變?yōu)榭�儡主機(jī)。

　　圖2：官方的DEMO站點(diǎn)測(cè)試結(jié)果

　　圖3：構(gòu)造SQL語(yǔ)句查詢網(wǎng)站的MySQL數(shù)據(jù)庫(kù)版本，甚至可以導(dǎo)致網(wǎng)站數(shù)據(jù)庫(kù)被拖庫(kù)

　　由于全部PHPCMSV9用戶均受漏洞影響，360網(wǎng)站安全工程師強(qiáng)烈建議用戶立刻下載PHPCMSV9官方于12月11日推出的全新升級(jí)程序。或者，用戶也可以下載360網(wǎng)站安全檢測(cè)提供的防護(hù)腳本，能夠快速修復(fù)漏洞防御黑客攻擊。

　　PHPCMSV9官方安全更新：http://download.phpcms.cn/v9/9.0/patch/

　　360網(wǎng)站安全檢測(cè)防護(hù)腳本：http://webscan.360.cn/down/php360.zip

　　關(guān)于360網(wǎng)站安全服務(wù)

　　360為站長(zhǎng)提供免費(fèi)的網(wǎng)站安全解決方案，包括360網(wǎng)站安全檢測(cè)平臺(tái)和360網(wǎng)站衛(wèi)士：

　　360網(wǎng)站安全檢測(cè)平臺(tái)是國(guó)內(nèi)首個(gè)集網(wǎng)站漏洞檢測(cè)、網(wǎng)站掛馬監(jiān)控、網(wǎng)站篡改監(jiān)控于一體的免費(fèi)檢測(cè)平臺(tái)，擁有全面的網(wǎng)站漏洞庫(kù)及蜜罐集群檢測(cè)系統(tǒng)，能夠第一時(shí)間協(xié)助網(wǎng)站檢測(cè)修復(fù)漏洞；

　　360網(wǎng)站衛(wèi)士則為站長(zhǎng)免費(fèi)提供網(wǎng)站防火墻、DDOS保護(hù)、CC保護(hù)、智能DNS解析、盜鏈保護(hù)、頁(yè)面壓縮、緩存加速和永久在線等服務(wù)。分享/17bianji.com)

　　推薦閱讀

　　360SyScan火熱進(jìn)行 微軟專家稱Office2013將不支持XP

12月13日，360SyScan國(guó)際安全會(huì)議（http://www.syscan360.org/）首次在北京舉行。微軟Office安全測(cè)試負(fù)責(zé)人TomGallagher發(fā)表《新版Office中的安全工程和產(chǎn)品改進(jìn)》主題演講，與參會(huì)者分享新版Office的安全特性改進(jìn)。>>>詳細(xì)閱讀

本文標(biāo)題：360協(xié)助PHPCMS修復(fù)V9版SQL注入漏洞

地址：http://m.sdlzkt.com/a/11/20121214/88492.html

 1/2    1  2 下一頁(yè)