位置：首頁 > 資訊 > 其他>360協(xié)助PHPCMS修復(fù)V9版SQL注入漏洞

360協(xié)助PHPCMS修復(fù)V9版SQL注入漏洞

發(fā)布時間：2020-07-02

欄目：其他

帝國cms文章批量更新助手織夢cms內(nèi)容文章批量更新助手 SDCMS文章批量更新助手

　　日前高效流通，360網(wǎng)站安全檢測平臺獨家發(fā)現(xiàn)PHPCMS V9版“注入”漏洞，并將漏洞信息通報PHPCMS官方精準調控，協(xié)助其快速推出補丁功能。據(jù)360網(wǎng)站安全檢測平臺分析，此前所有使用PHPCMS V9搭建的網(wǎng)站均存在SQL注入漏洞解決，可能使黑客利用漏洞篡改網(wǎng)頁預期、竊取數(shù)據(jù)庫，甚至控制服務(wù)器幅度。鑒于該漏洞影響嚴重結構，360已第一時間向網(wǎng)站安全檢測用戶發(fā)出告警郵件，360網(wǎng)站衛(wèi)士也增加了防護規(guī)則貢獻。

　　360網(wǎng)站安全檢測平臺服務(wù)網(wǎng)址：http://webscan.#

　　360獨家發(fā)現(xiàn)的PHPCMS V9漏洞：http://bbs.webscan.#/forum.php?mod=viewthread&tid=481

　　PHPCMS V9版于2010年推出規模最大，是應(yīng)用較為廣泛的建站工具。第三方數(shù)據(jù)顯示統籌，目前使用PHPCMS V9搭建的網(wǎng)站數(shù)量多達數(shù)十萬個最深厚的底氣，包括聯(lián)合國兒童基金會等機構(gòu)網(wǎng)站，以及大批企業(yè)網(wǎng)站均使用PHPCMS V9搭建和維護PHPCMS批量更新文章堅實基礎。

　　據(jù)360安全工程師分析，SQL注入漏洞存在于PHPCMS V9版本（包括GBK和UTF8版）的poster_click函數(shù)方法，攻擊者可以控制HTTP_REFERER（header的一部分）行動力，將REFERER值直接帶入數(shù)據(jù)庫，而且不受magic_quotes_gpc()控制切實把製度，這導(dǎo)致SQL注入漏洞的產(chǎn)生保供。

　　圖1：黑客可控制HTTP_REFERER語句實施SQL注入

　　經(jīng)過對PHPCMS官方DEMO站點的測試，利用漏洞進行部署，攻擊者可以構(gòu)造SQL語句對DEMO網(wǎng)站的MySQL數(shù)據(jù)庫進行查詢責任，并能夠?qū)嵤?ldquo;拖庫”，甚至將數(shù)據(jù)庫所在服務(wù)器變?yōu)榭苤鳈C保護好。

　　圖2：官方的DEMO站點測試結(jié)果

　　圖3：構(gòu)造SQL語句查詢網(wǎng)站的MySQL數(shù)據(jù)庫版本組建，甚至可以導(dǎo)致網(wǎng)站數(shù)據(jù)庫被拖庫

　　由于全部PHPCMS V9用戶均受漏洞影響，360網(wǎng)站安全工程師強烈建議用戶立刻下載PHPCMS V9官方于12月11日推出的全新升級程序∩羁套兏?；蛘呓Y論，用戶也可以下載360網(wǎng)站安全檢測提供的防護腳本，能夠快速修復(fù)漏洞防御黑客攻擊質生產力。

　　PHPCMS V9官方安全更新：http://download.phpcms.cn/v9/9.0/patch/

　　360網(wǎng)站安全檢測防護腳本：http://webscan.#/down/php360.zip

PHPCMS批量添加欄目

　　關(guān)于360網(wǎng)站安全服務(wù)

　　360為站長提供免費的網(wǎng)站安全解決方案適應性強，包括360網(wǎng)站安全檢測平臺和360網(wǎng)站衛(wèi)士：

　　360網(wǎng)站安全檢測平臺是國內(nèi)首個集網(wǎng)站漏洞檢測、網(wǎng)站掛馬監(jiān)控先進的解決方案、網(wǎng)站篡改監(jiān)控于一體的免費檢測平臺拓展，擁有全面的網(wǎng)站漏洞庫及蜜罐集群檢測系統(tǒng)，能夠第一時間協(xié)助網(wǎng)站檢測修復(fù)漏洞宣講活動；

PHPCMS批量添加產(chǎn)品　　360網(wǎng)站衛(wèi)士則為站長免費提供網(wǎng)站防火墻不斷進步、DDOS保護、CC保護確定性、智能DNS解析更加廣闊、盜鏈保護、頁面壓縮講故事、緩存加速和永久在線等服務(wù)非常完善。

　　關(guān)于奇虎360科技有限公司

　　奇虎360(NYSE:QIHU)是中國第一大互聯(lián)網(wǎng)安全服務(wù)提供商。按照用戶數(shù)量計算全面革新，目前奇虎360是中國第三大互聯(lián)網(wǎng)公司作用。作為“免費安全”的首創(chuàng)者PHPCMS批量助手，奇虎360為近4億中國互聯(lián)網(wǎng)用戶提供領(lǐng)先的互聯(lián)網(wǎng)和無線安全產(chǎn)品及服務(wù)行業分類，覆蓋率近90%技術特點。奇虎360通過提供細致、完善的平臺服務(wù)以及網(wǎng)絡(luò)安全服務(wù)PHPCMS批量上傳內(nèi)容相結合，以開放平臺實現(xiàn)商業(yè)價值高效化，與合作伙伴共同建立起多方