天互数据

登录

新闻资讯 NEWS

实时发布天互官方新闻和媒体报道,了解天互最新动态

当前位置:新闻资讯 > 公司新闻 > 正文
Nov
2012 23

DedeCMS曝SQL注入漏洞 360提醒站长速打补丁

  • 时间:2012/11/23 15:27:00
  • 阅读:606438次

  近日,知名第三方漏洞报告平台乌云曝光建站工具DedeCMS系统反馈页面存在SQL注入高危漏洞(http://www.wooyun.org/bugs/wooyun-2012-014076 ),攻击者可以轻易获取网站管理员密码,

  网站数据面临“拖库”威胁。经360网站安全检测(WebScan)对注册用户的分析研究发现,86%使用DedeCMS的网站存在该漏洞,危害范围十分广泛。

  360网站安全检测服务网址:http://webscan.360.cn

  据了解,DedeCMS(织梦内容管理系统)是国内知名的PHP类CMS系统,在站长圈内应用广泛,用户涉及企事业单位、政府机关、教育、媒体、IT及互联网等多个行业,青年文摘、盐城国土资源部门网站都是用DedeCMS搭建。

  据360网站安全检测分析,造成DedeCMS漏洞的原因在于其plus\feedback.php中的变量$typeid,由于未对参数进行初始化检测,从而导致SQL注入漏洞的产生。

  

DedeCMS曝SQL注入漏洞 360提醒站长速打补丁

  图1:feedback.php中过滤不严导致漏洞

  360安全专家表示,攻击者通过提交回复,无需审核即可发表回复,并执行恶意语句,窃取管理员的账号和密码,后只需进行MD5解密便可得到明文密码。经验证,有些网站虽然没有启用会员模块,但依旧存在feedback页面,这导致在允许游客评论的状态下,SQL漏洞就可以被利用;而即便禁止游客评论,也可能面临安全风险。

  

DedeCMS曝SQL注入漏洞 360提醒站长速打补丁

  图2:实施SQL注入攻击后,可获得管理员账号密码

  目前,DedeCMS V5.7以下版本都受该漏洞影响,DedeCMS官方已提供下载补丁进行修复(http://bbs.dedecms.com/551651.html),但补丁推出一段时间来,360网站安全检测发现仍有大量网站并未重视。对此,360网站安全检测平台已向旗下用户发送警告邮件,建议广大站长及管理员尽快下载官方补丁进行修复,并使用360网站安全检测和360网站卫士,保护网站安全。

  关于360网站安全服务

  360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:

  360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;

  360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。

  关于奇虎360科技有限公司

  奇虎360(NYSE:QIHU)是中国第一大互联网安全服务提供商。按照用户数量计算,目前奇虎360是中国第三大互联网公司。作为“免费安全”的首创者,奇虎360为近4亿中国互联网用户提供领先的互联网和无线安全产品及服务,覆盖率近90%。奇虎360通过提供细致、完善的平台服务以及网络安全服务,以开放平台实现商业价值,与合作伙伴共同建立起多方共赢的互联网生态体系。

——THE END——

上一篇: 新版新浪微博开放升级 面向所有用户

下一篇: 重要公告|关于公司话务系统中心线路故障的公告

为你推荐
天互数据助力成长
  • 售前咨询电话

    400-675-6239

  • 在线客服

    在线客服,立即响应

  • 建议反馈

    天互数据渴望您的建议

          关注天互数据      关注百度智能云服务中心

咨询热线
400-675-6239

关注微信公众号

公司地址:陕西省西安市高新区科技路50号金桥国际广场A座2单元21702号
邮编:710116

在线客服

电话咨询

扫码咨询