位置：首頁 > 資訊 > 其他>360協(xié)助PHPCMS修復(fù)V9版SQL注入漏洞

360協(xié)助PHPCMS修復(fù)V9版SQL注入漏洞

發(fā)布時間：2020-07-02

欄目：其他

帝國cms文章批量更新助手織夢cms內(nèi)容文章批量更新助手 SDCMS文章批量更新助手

　　日前，360網(wǎng)站安全檢測平臺獨家發(fā)現(xiàn)PHPCMS V9版“注入”漏洞解決方案，并將漏洞信息通報PHPCMS官方趨勢，協(xié)助其快速推出補丁。據(jù)360網(wǎng)站安全檢測平臺分析上高質量，此前所有使用PHPCMS V9搭建的網(wǎng)站均存在SQL注入漏洞一站式服務，可能使黑客利用漏洞篡改網(wǎng)頁、竊取數(shù)據(jù)庫深入交流，甚至控制服務(wù)器引領作用。鑒于該漏洞影響嚴(yán)重，360已第一時間向網(wǎng)站安全檢測用戶發(fā)出告警郵件臺上與臺下，360網(wǎng)站衛(wèi)士也增加了防護規(guī)則用的舒心。

　　360網(wǎng)站安全檢測平臺服務(wù)網(wǎng)址：http://webscan.#

　　360獨家發(fā)現(xiàn)的PHPCMS V9漏洞：http://bbs.webscan.#/forum.php?mod=viewthread&tid=481

　　PHPCMS V9版于2010年推出，是應(yīng)用較為廣泛的建站工具助力各行。第三方數(shù)據(jù)顯示前來體驗，目前使用PHPCMS V9搭建的網(wǎng)站數(shù)量多達數(shù)十萬個，包括聯(lián)合國兒童基金會等機構(gòu)網(wǎng)站確定性，以及大批企業(yè)網(wǎng)站均使用PHPCMS V9搭建和維護PHPCMS批量更新文章更加廣闊。

　　據(jù)360安全工程師分析，SQL注入漏洞存在于PHPCMS V9版本（包括GBK和UTF8版）的poster_click函數(shù)講故事，攻擊者可以控制HTTP_REFERER（header的一部分）不斷發展，將REFERER值直接帶入數(shù)據(jù)庫，而且不受magic_quotes_gpc()控制自動化方案，這導(dǎo)致SQL注入漏洞的產(chǎn)生緊密協作。

　　圖1：黑客可控制HTTP_REFERER語句實施SQL注入

　　經(jīng)過對PHPCMS官方DEMO站點的測試，利用漏洞線上線下，攻擊者可以構(gòu)造SQL語句對DEMO網(wǎng)站的MySQL數(shù)據(jù)庫進行查詢發揮重要作用，并能夠?qū)嵤?ldquo;拖庫”，甚至將數(shù)據(jù)庫所在服務(wù)器變?yōu)榭苤鳈C數據顯示。

　　圖2：官方的DEMO站點測試結(jié)果

　　圖3：構(gòu)造SQL語句查詢網(wǎng)站的MySQL數(shù)據(jù)庫版本高質量，甚至可以導(dǎo)致網(wǎng)站數(shù)據(jù)庫被拖庫

　　由于全部PHPCMS V9用戶均受漏洞影響，360網(wǎng)站安全工程師強烈建議用戶立刻下載PHPCMS V9官方于12月11日推出的全新升級程序記得牢≡]入了新的力量；蛘撸脩粢部梢韵螺d360網(wǎng)站安全檢測提供的防護腳本更多可能性，能夠快速修復(fù)漏洞防御黑客攻擊去創新。

　　PHPCMS V9官方安全更新：http://download.phpcms.cn/v9/9.0/patch/

　　360網(wǎng)站安全檢測防護腳本：http://webscan.#/down/php360.zip

PHPCMS批量添加欄目

　　關(guān)于360網(wǎng)站安全服務(wù)

　　360為站長提供免費的網(wǎng)站安全解決方案，包括360網(wǎng)站安全檢測平臺和360網(wǎng)站衛(wèi)士：

　　360網(wǎng)站安全檢測平臺是國內(nèi)首個集網(wǎng)站漏洞檢測緊迫性、網(wǎng)站掛馬監(jiān)控結構、網(wǎng)站篡改監(jiān)控于一體的免費檢測平臺更適合，擁有全面的網(wǎng)站漏洞庫及蜜罐集群檢測系統(tǒng)，能夠第一時間協(xié)助網(wǎng)站檢測修復(fù)漏洞溝通協調；

PHPCMS批量添加產(chǎn)品　　360網(wǎng)站衛(wèi)士則為站長免費提供網(wǎng)站防火墻要素配置改革、DDOS保護、CC保護保障性、智能DNS解析帶動產業發展、盜鏈保護、頁面壓縮十分落實、緩存加速和永久在線等服務(wù)應用提升。

　　關(guān)于奇虎360科技有限公司

　　奇虎360(NYSE:QIHU)是中國第一大互聯(lián)網(wǎng)安全服務(wù)提供商。按照用戶數(shù)量計算創造性，目前奇虎360是中國第三大互聯(lián)網(wǎng)公司。作為“免費安全”的首創(chuàng)者PHPCMS批量助手道路，奇虎360為近4億中國互聯(lián)網(wǎng)用戶提供領(lǐng)先的互聯(lián)網(wǎng)和無線安全產(chǎn)品及服務(wù)規模設備，覆蓋率近90%。奇虎360通過提供細(xì)致指導、完善的平臺服務(wù)以及網(wǎng)絡(luò)安全服務(wù)PHPCMS批量上傳內(nèi)容競爭力，以開放平臺實現(xiàn)商業(yè)價值，與合作伙伴共同建立起多方