網站漏洞測試php程式碼修復詳情
2020年,剛剛開始WordPress部落格系統被網站安全檢測出有外掛繞過漏洞,該外掛的開發公司,已升級了該外掛併發布1.7版本,對以前爆出的漏洞進行了修補,該企業網站漏洞造成的原因是未經許可身份認證的普通使用者給以了系統管理員許可權。黑客能夠以網站管理員的身份進行登陸,並可以將wp企業網站的全部資料表資訊恢復為以前的模式,進而上傳webshell企業網站木馬程式碼來進行篡改企業網站。現階段受危害的版本包含最新的WP系統。
這個WP外掛的主要功能是可以將網站的主題自定義的進行外觀設計,與匯入程式碼,讓很多新手不懂程式碼設計的可以迅速的掌握該技巧對網站進行外觀設計,目前全球用該外掛的人數達到二十五萬多企業網站在使用該外掛,也是目前最受環境的外掛。該網站漏洞影響的外掛版本,是存在於1.5-1.6版本。根據目前WP官方的資料資料統計,使用該版本的使用者以及網站數量佔比竟然達到百分之95左右,受漏洞影響的網站確實太多,建議各位站長儘快對該外掛進行升級,修復漏洞。
該網站漏洞的利用方式以及條件,必須是該主題外掛處於啟用狀態,並且是公司網站上都安裝了這個外掛才會受到漏洞的攻擊,讓黑客有攻擊網站的機會。SINE安全技術在實際的漏洞利用測試過程中,也發現了一些問題,外掛繞過漏洞的利用前提是需要有1個條件來進行,網站的資料庫表中的普通使用者必須有admin賬戶存在,目前的網站安全解決方案是儘快升級該外掛到最新版本,有些企業網站不知道該如何升級的,先將改外掛在後臺關閉掉,防止黑客的入侵。
針對該外掛漏洞的修復辦法,可以在“wdcp_init”的Hook在網站環境中執行,而且還可啟用無需通過身份認證的普通使用者的“/wp-wdcp/wdcp-ajax.tp框架”。缺少身份認證就使漏洞沒有利用的機會了。假如資料表中存有“wdcp”普通使用者,未經許可身份認證的黑客機會會應用此賬號登陸,並刪掉全部以已定義的資料表字首打頭的。可以將該使用者刪除掉,以防止網站被攻擊。
只要刪掉了全部表,它將應用高階設定和資料資訊添充資料表,隨後將“wdcp”普通使用者的密碼修改為其此前已經知道的登陸密碼。某安全組織於2月6號檢測到了該網站外掛繞過漏洞,在同一天將其安全報告給外掛的開發公司。十天之後,也就是上個星期,主題Grill外掛公司,釋出了修復該網站漏洞的新版本。
在編寫這篇文章時,修補後的外掛,最新版本下載數量達到二十多萬,這說明應用還有很多企業網站沒有修復漏洞,仍然處在被攻擊的風險當中。針對於WP官方的資料安全中心釋出的安全報告中顯示的兩個網站漏洞,當黑客利用這些網站漏洞時,都是會造成和本次安全事件一樣的影響。建議使用該外掛的wordpress公司網站儘快升級,修復漏洞,以免對網站對公司產生更大的經濟損失以及影響。
在其中1個CVE-2020-7048准許未經許可身份認證的普通使用者從其他資料表中重置表,而另外一個CVE-2020-7047則是賦予最低管理許可權的賬號網站管理員管理許可權。如果您對網站程式碼不是太瞭解,不知道該如何修復wordpress的漏洞,或者是您網站使用的是wp系統開發的,被黑客攻擊篡改資料,也可以找專業的網站安全公司來處理解決。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2678074/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網站存在漏洞怎麼修復 如何修補網站程式程式碼漏洞網站
- struts2架構網站漏洞修復詳情與利用漏洞修復方案架構網站
- 網站漏洞檢測 wordpress sql注入漏洞程式碼審計與修復網站SQL
- 網站漏洞檢測對漏洞檢測修復方案網站
- 網站漏洞修復之圖片驗證碼的詳細修復方案網站
- 如何對網站登入進行漏洞測試以及漏洞修復網站
- 網站程式碼漏洞審計挖掘與修復方法網站
- PrestaShop網站漏洞修復如何修復REST網站
- 錢包網站安全漏洞測試服務詳情網站
- 網站漏洞測試 檔案上傳漏洞的安全滲透與修復網站
- phpcms網站漏洞修復遠端程式碼寫入快取漏洞利用PHP網站快取
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- WordPress4.9最新版本網站安全漏洞詳情與修復網站
- 網站安全防護-PHP反序列化漏洞修復網站PHP
- 網站漏洞滲透測試服務內容詳情見解網站
- 怎麼修復網站漏洞騎士cms的漏洞修復方案網站
- 網站被攻擊 如何修復網站漏洞網站
- thinkcmf 網站最新漏洞修復方法網站
- 網站滲透測試漏洞分析程式碼架構網站架構
- 網站漏洞檢測工具對CSRF攻擊詳情網站
- 網站漏洞修補之ECshop4.0跨站指令碼攻擊修復網站指令碼
- 滲透測試對網站漏洞修復執行命令重點檢查網站
- 網站被黑該怎麼修復漏洞網站
- 框架網站漏洞修復防護方法框架網站
- 網站滲透測試服務之簡訊轟炸漏洞挖掘與修復網站
- CVE-2019-1181 windows遠端桌面程式碼執行漏洞詳情與修復方案Windows
- 怎麼修復網站漏洞之metinfo遠端SQL隱碼攻擊漏洞修補網站SQL
- WordPress網站漏洞利用及漏洞修復解決方案網站
- 網站漏洞修復之Metinfo 檔案上傳漏洞網站
- apache網站漏洞修復解決辦法Apache網站
- 網站漏洞修復SQL隱碼攻擊防護辦法網站SQL
- 核彈級漏洞——Apache Log4j 2 遠端程式碼執行漏洞事件詳情及修復方式Apache事件
- 網站漏洞處理修復服務之lankecms篡改漏洞網站
- ecshop漏洞修復以及如何加固ecshop網站安全網站
- 網站漏洞修復服務商關於越權漏洞分析網站
- 程式碼安全測試第十五期:跨站指令碼漏洞指令碼
- 用APP滲透測試來查詢網站被駭客攻擊的根源以及漏洞修復APP網站
- 網站滲透測試安全檢測漏洞網站