網站存在漏洞怎麼修復 如何修補網站程式程式碼漏洞
phpdisk是目前網際網路最大的網盤開源系統,採用PHP語言開發,mysql資料庫架構,我們SINE安全在對其網站安全檢測以及網站漏洞檢測的同時,發現該網盤系統存在嚴重的sql注入攻擊漏洞,危害性較高,可以直接獲取網站的管理員賬號密碼,利用預設後臺地址登入,可以直接獲取webshell許可權。
目前phpdisk最新版本為7.0版本,該網站系統可以用於公司辦公,企業內部檔案共享,文件儲存,比傳統的FTP軟體更為直觀,操作,簡單方便,快捷,使用者上傳檔案格式可以後臺設定,人性化,滿足了很多企業以及個人使用者的青睞,使用的人越多,針對於該網站的漏洞挖掘也會越來越多,很容易遭受到攻擊者的攻擊。關於該網站的sql注入攻擊漏洞的詳情,我們SINE安全來詳細的跟大家講解一下:
SQL隱碼攻擊漏洞詳情
phpdisk有多個版本,像gbk版本,utf8版本,在程式碼當中都會相互轉換程式碼的功能,在對程式碼進行轉化的同時多多少少會存在漏洞,該sql注入漏洞產生的原因就在這裡,我們對程式碼進行安全審計後發現編碼轉換呼叫的是conver_str函式,大部分的網站對編碼的轉換都呼叫這個引數,在進行轉化的時候進行了多次轉義操作,我們追蹤程式碼發現iconv存在sql寬位元組注入漏洞,程式碼截圖如下:
另外的一處sql注入漏洞是在程式碼檔案裡,根目錄下的ajax.php檔案。我們來看下程式碼:
本身該程式碼已經使用了全域性變數的sql過濾系統,對一些sql注入語句進行了安全過濾與攔截,一般性的sql注入攻擊都不會成功,但是經過我們的安全檢測與繞過,可以直接將SQL隱碼攻擊語句植入到網站當中,並從後端執行資料庫的查詢操作,使用加密對其進行sql攻擊。
透過網站的sql注入漏洞我們可以直接獲取網盤的管理員賬號密碼,獲取到的是md5值,針對於md5值我們對其解密,並利用預設的後臺地址,登入進去,透過上傳檔案,我們進一步的對網站進行上傳webshell獲取更高的管理員許可權。
如何防止sql注入攻擊呢? 修復網站的漏洞
對網站前端輸入過來的值進行安全判斷,尤其編碼轉換這裡,確認變數值是否存在,如果存在將不會覆蓋,杜絕變數覆蓋導致摻入惡意構造的sql注入語句程式碼在GET請求,以及POST請求裡,過濾非法字元的輸入。 '分號過濾 --過濾 %20特殊字元過濾,單引號過濾,%百分號, and過濾,tab鍵值等的的安全過濾。對加密的引數進行強制轉換並攔截特殊的語句,該phpdisk網站系統已經停止更新,如果對程式碼不是太懂的話,建議找專業的網站安全公司來處理解決網站被sql注入攻擊問題,讓安全公司幫忙修復網站的漏洞,像Sinesafe,綠盟那些專門做網站安全防護的安全服務商來幫忙。還有一點就是,如果實在不知道該怎麼修復漏洞,直接將網站的後臺地址改掉,改的複雜一些,即使攻擊者破解了admin的賬號密碼,也登入不了後臺
來自 “ ITPUB部落格 ” ,連結:http://blog.itpub.net/31542418/viewspace-2649947/,如需轉載,請註明出處,否則將追究法律責任。
相關文章
- 網站漏洞修復 上傳webshell漏洞修補網站Webshell
- PrestaShop網站漏洞修復如何修復REST網站
- 怎麼修復網站漏洞之metinfo遠端SQL隱碼攻擊漏洞修補網站SQL
- 怎麼修復網站漏洞騎士cms的漏洞修復方案網站
- 網站被黑該怎麼修復漏洞網站
- 網站被攻擊 如何修復網站漏洞網站
- 網站漏洞修補之ECshop4.0跨站指令碼攻擊修復網站指令碼
- 網站漏洞測試php程式碼修復詳情網站PHP
- 網站程式碼漏洞審計挖掘與修復方法網站
- phpcms網站漏洞修復遠端程式碼寫入快取漏洞利用PHP網站快取
- 網站漏洞檢測 wordpress sql注入漏洞程式碼審計與修復網站SQL
- thinkcmf 網站最新漏洞修復方法網站
- 框架網站漏洞修復防護方法框架網站
- ecshop漏洞修復以及如何加固ecshop網站安全網站
- WordPress網站漏洞利用及漏洞修復解決方案網站
- 網站漏洞檢測對漏洞檢測修復方案網站
- 網站漏洞修復之Metinfo 檔案上傳漏洞網站
- 如何對網站登入進行漏洞測試以及漏洞修復網站
- struts2架構網站漏洞修復詳情與利用漏洞修復方案架構網站
- apache網站漏洞修復解決辦法Apache網站
- 網站漏洞處理修復服務之lankecms篡改漏洞網站
- 網站漏洞修復之圖片驗證碼的詳細修復方案網站
- 網站漏洞修復服務商關於越權漏洞分析網站
- 微信小程式漏洞怎麼修復微信小程式
- 網站漏洞修復SQL隱碼攻擊防護辦法網站SQL
- 網站存在漏洞被通知整改怎麼辦網站
- 網站漏洞檢測 squid反向代理存在遠端程式碼執行漏洞網站UI
- 網站存在漏洞該如何解決網站
- 網站為什麼會存在漏洞網站
- 網站存在漏洞如何排查和尋找漏洞原因網站
- semcms網站漏洞挖掘過程與安全修復防範網站
- 網站安全防護-PHP反序列化漏洞修復網站PHP
- 網站漏洞測試 檔案上傳漏洞的安全滲透與修復網站
- 網站漏洞修復服務商對繞過認證漏洞的探討網站
- 我的網站被黑了,該如何排除漏洞並修復安全問題網站
- 網站漏洞該如何修復 加強伺服器的安全防護網站伺服器
- 網站漏洞修復公司處理網站被篡改跳轉到其他網站的解決辦法網站
- 網站漏洞修復案例之Discuz!3.4最新版本網站