怎麼修復網站漏洞騎士cms的漏洞修復方案
騎士CMS是國內公司開發的一套開源人才網站系統,使用PHP語言開發以及mysql資料庫的架構,2019年1月份被某安全組織檢測出漏洞,目前最新版本4.2存在高危網站漏洞,通殺SQL隱碼攻擊漏洞,利用該網站漏洞可以獲取網站的管理員賬號密碼以及使用者賬號資訊.
目前很多人才網站都使用的騎士CMS系統,受影響的網站較多,關於該網站漏洞的詳情我們來詳細的分析一下。騎士cms4.2最新版本使用了thinkphp的架構,底層的核心基礎程式碼都是基於thinkphp的開發程式碼,有些低於4.2版本的網站系統都會受到漏洞的攻擊。我們來本地伺服器進行搭建騎士CMS系統的環境,首先去騎士官方下載最新版本74cms_Home_Setup_v4.2.111.zip,然後安裝php版本為5.4,mysql資料庫安裝版本為5.6,我們把網站放到D盤的預設wwwroot裡,解壓ZIP包到目錄當中去.
然後我們進行安裝,除錯,使其本地127.0.0.1可以開啟網站進行漏洞的測試,該漏洞的利用條件是要網站擁有一些招聘的資料,有了資料才可以進行sql注入攻擊,我們在自己安裝的網站裡新增加了許多招聘的崗位,如下圖:
我們隨便註冊一個商戶的賬號,登陸商戶使用者中心,然後再發布一條資訊到網站的前臺。我們開啟測試的網站地址,看到有一條招聘資訊了,我們開啟來
http://127.0.0.1/index.php?m=&c=jobs&a=jobs_list&lat=21.183858&range=80&lng=225.15098* 點選之後就會
有提示,我們就可以進行注入了。如下圖所示:
網站漏洞詳情檔案是Application目錄裡的Common資料夾下的Conf檔案config.php程式碼,發現這個配置檔案呼叫的就是job_list的類標籤,這個類會把一些引數值直接賦值到$this->params裡,根據這個介面我們可以插入非法的SQL隱碼攻擊程式碼,大部分的thinkphp都是可以進行註冊的,包括目前最新的thinkphp5.0漏洞,都是可以遠端程式碼執行的。
關於騎士CMS網站漏洞的修復辦法,目前官方還沒有公佈最新的補丁,建議大家在伺服器前端部署SQL隱碼攻擊防護,對GET、POST、COOKIES、的提交方式進行攔截,也可以對網站的後臺目錄進行更改,後臺的資料夾名改的複雜一些,懂程式程式碼設計的話,建議將數值轉換改為浮點型,防止二次SQL隱碼攻擊。網站漏洞的修補與木馬後門的清除,需要很多專業的知識,也不僅僅是知識,還需要大量的經驗積累,所以從做網站到維護網站,維護伺服器,儘可能找專業的網站安全公司來解決問題,國內也就Sinesafe和綠盟、啟明星辰等安全公司比較專業.
相關文章
- 網站被黑該怎麼修復漏洞網站
- PrestaShop網站漏洞修復如何修復REST網站
- 網站存在漏洞怎麼修復 如何修補網站程式程式碼漏洞網站
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- struts2架構網站漏洞修復詳情與利用漏洞修復方案架構網站
- WordPress網站漏洞利用及漏洞修復解決方案網站
- 網站漏洞檢測對漏洞檢測修復方案網站
- 網站漏洞修復之圖片驗證碼的詳細修復方案網站
- 怎麼修復網站漏洞之metinfo遠端SQL隱碼攻擊漏洞修補網站SQL
- thinkcmf 網站最新漏洞修復方法網站
- 框架網站漏洞修復防護方法框架網站
- 網站被攻擊 如何修復網站漏洞網站
- 網站漏洞修復之Metinfo 檔案上傳漏洞網站
- 網站漏洞處理修復服務之lankecms篡改漏洞網站
- apache網站漏洞修復解決辦法Apache網站
- 【漏洞修復通知】修復Apache Shiro認證繞過漏洞Apache
- 微信小程式漏洞怎麼修復微信小程式
- 網站漏洞修復服務商關於越權漏洞分析網站
- ecshop漏洞修復以及如何加固ecshop網站安全網站
- Win10安全中心怎麼更新漏洞修復_win10使用安全中心更新漏洞修復教程Win10
- 如何對網站登入進行漏洞測試以及漏洞修復網站
- phpStudy poc漏洞復現以及漏洞修復辦法PHP
- 網站漏洞修補之ECshop4.0跨站指令碼攻擊修復網站指令碼
- 網站漏洞測試php程式碼修復詳情網站PHP
- 網站程式碼漏洞審計挖掘與修復方法網站
- 網站漏洞測試 檔案上傳漏洞的安全滲透與修復網站
- 網站漏洞修復服務商對繞過認證漏洞的探討網站
- phpcms網站漏洞修復遠端程式碼寫入快取漏洞利用PHP網站快取
- 網站漏洞檢測 wordpress sql注入漏洞程式碼審計與修復網站SQL
- semcms網站漏洞挖掘過程與安全修復防範網站
- 網站安全防護-PHP反序列化漏洞修復網站PHP
- Linux常見漏洞修復教程!Linux
- weblogic T3 漏洞修復Web
- 網站漏洞修復案例之Discuz!3.4最新版本網站
- 網站漏洞修復SQL隱碼攻擊防護辦法網站SQL
- 沒有修復不了漏洞,只有修不成的工具人!
- TomcatAJP檔案包含漏洞及線上修復漏洞Tomcat
- WordPress 5.1.1 釋出 修復 CSRF 漏洞