網站被黑該怎麼修復漏洞
近日wordpress被爆出高危的網站漏洞,該漏洞可以偽造程式碼進行遠端程式碼執行,獲取管理員的session以及獲取cookies值,漏洞的產生是在於wordpress預設開啟的文章評論功能,該功能在對評論的引數並沒有進行詳細的安全過濾與攔截,導致可以繞過安全檢測,直接提交html標籤,導致可以寫入XSS程式碼,對其CSRF跨站偽造攻擊,很多在谷歌做的推廣外貿站點導致被跳轉到其他站點.
該網站漏洞的影響範圍較廣,幾乎是通殺所有的wordpress部落格網站,低於5.1.1版本的系統,據SINE安全統計國內,以及國外,受漏洞攻擊影響的網站達到數百萬個。
我們來詳細的分析該網站漏洞,wp官方其實有考慮到評論功能的安全問題,特意的使用wpnonce安全機制,對於一些html標籤,A類的html標籤都會進行攔截,透過程式碼可以看出來,整體上的安全過濾攔截,還是不錯的,一般的JS地址都插入不到評論當中去。我們來看下過濾程式碼:
上面的程式碼可以看出當使用者進行評論的時候,會POST傳送引數,那麼wp_filter-kses負責過濾非法的引數,一般的html標籤都會被攔截掉,只會允許白名單裡的A標籤進行插入評論,問題的根源就在於wp的白名單機制可以到導致寫入惡意程式碼到評論當中去,我們對整個評論的過程瞭解清楚後就知道,我們建構函式透過拼接雙引號的方式去進行構造,然後進行評論,系統自動將一些特殊程式碼進行去除,導致雙引號可以正常的插入到程式碼中,惡意程式碼構造成功,漏洞的前提是需要誘惑管理員去看這條評論,然後將滑鼠移動到這條評論的時候,才會導致該wordpress漏洞的發生,網站被黑被篡改和劫持,處理起來很麻煩,你需要去找出來它的病毒檔案在哪裡然後刪除,有一些是被隱藏起來的不好找,要不就是加到程式碼裡面了,在程式碼裡面去找一個木馬也是一件不簡單的事情。如果是你自己寫的網站熟悉還好,不是自己寫的,建議找專業的網站安全公司來處理解決網站被篡改的問題,像Sinesafe,綠盟那些專門做網站安全防護的安全服務商來幫忙。
我們對漏洞分析完後,才發現該漏洞的利用需要一定的條件才可以,如果是評論自己的文章是沒有任何的安全攔截,可以隨便寫,所以在評論的時候也是要求是管理員自己寫的文章才可以利用該漏洞,總體來說wordpress的安全機制還是很不錯的,但一個網站管理員的許可權,也是要進行詳細的許可權過濾,不能什麼都可以操作,許可權安全做到最大化,才能避免漏洞的發生,關於wordpress漏洞修復,可以登入WP系統的後臺進行版本的更新,線上自動修復漏洞。
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2638859/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 怎麼修復網站漏洞騎士cms的漏洞修復方案網站
- 我的網站被黑了,該如何排除漏洞並修復安全問題網站
- 網站存在漏洞怎麼修復 如何修補網站程式程式碼漏洞網站
- PrestaShop網站漏洞修復如何修復REST網站
- 怎麼修復網站漏洞之metinfo遠端SQL隱碼攻擊漏洞修補網站SQL
- 怎麼看網站是否被黑防止網站被黑網站
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- 網站被攻擊 如何修復網站漏洞網站
- thinkcmf 網站最新漏洞修復方法網站
- 框架網站漏洞修復防護方法框架網站
- 網站漏洞該如何修復 加強伺服器的安全防護網站伺服器
- WordPress網站漏洞利用及漏洞修復解決方案網站
- 網站漏洞檢測對漏洞檢測修復方案網站
- 網站漏洞修復之Metinfo 檔案上傳漏洞網站
- struts2架構網站漏洞修復詳情與利用漏洞修復方案架構網站
- apache網站漏洞修復解決辦法Apache網站
- 網站被黑客掃描撞庫該怎麼應對防範?網站黑客
- 網站漏洞處理修復服務之lankecms篡改漏洞網站
- 網站被百度提示有風險,該如何解決?網站被黑怎麼辦?網站
- 微信小程式漏洞怎麼修復微信小程式
- ecshop漏洞修復以及如何加固ecshop網站安全網站
- 網站漏洞修復服務商關於越權漏洞分析網站
- 網站漏洞修復之圖片驗證碼的詳細修復方案網站
- 為什麼網站伺服器會出現500錯誤程式碼?該怎麼修復?網站伺服器
- 網站漏洞修補之ECshop4.0跨站指令碼攻擊修復網站指令碼
- 網站被黑客入侵了怎麼解決網站黑客
- 網站漏洞測試php程式碼修復詳情網站PHP
- 網站程式碼漏洞審計挖掘與修復方法網站
- 如何對網站登入進行漏洞測試以及漏洞修復網站
- 網站被黑如何恢復 如何查詢網站木馬程式碼 防止被黑網站
- 網賭被黑取款注單延遲網站維護不給出款該怎麼辦?網站
- phpcms網站漏洞修復遠端程式碼寫入快取漏洞利用PHP網站快取
- 網站漏洞檢測 wordpress sql注入漏洞程式碼審計與修復網站SQL
- semcms網站漏洞挖掘過程與安全修復防範網站
- 網站安全防護-PHP反序列化漏洞修復網站PHP
- 網路網賭被黑取款帳戶涉嫌套利網站維護不能出款應該怎麼辦?網站
- 網站被攻擊了 該怎麼解決防止被黑客攻擊的問題網站黑客
- Win10安全中心怎麼更新漏洞修復_win10使用安全中心更新漏洞修復教程Win10