天互数据

登录

新闻资讯 NEWS

实时发布天互官方新闻和媒体报道,了解天互最新动态

当前位置:新闻资讯 > 公司新闻 > 正文
Dec
2012 14

360协助PHPCMS修复V9版SQL注入漏洞

  • 时间:2012/12/14 17:30:18
  • 阅读:589457次

  日前,360网站安全检测平台独家发现PHPCMSV9版“注入”漏洞,并将漏洞信息通报PHPCMS官方,协助其快速推出补丁。据360网站安全检测平台分析,此前所有使用PHPCMSV9搭建的网站均存在SQL注入漏洞,可能使黑客利用漏洞篡改网页、窃取数据库,甚至控制服务器。鉴于该漏洞影响严重,360已第一时间向网站安全检测用户发出告警邮件,360网站卫士也增加了防护规则。

  360网站安全检测平台服务网址:http://webscan.360.cn

  360独家发现的PHPCMSV9漏洞:http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=481

  PHPCMSV9版于2010年推出,是应用较为广泛的建站工具。第三方数据显示,目前使用PHPCMSV9搭建的网站数量多达数十万个,包括联合国儿童基金会等机构网站,以及大批企业网站均使用PHPCMSV9搭建和维护。

  据360安全工程师分析,SQL注入漏洞存在于PHPCMSV9版本(包括GBK和UTF8版)的poster_click函数,攻击者可以控制HTTP_REFERER(header的一部分),将REFERER值直接带入数据库,而且不受magic_quotes_gpc()控制,这导致SQL注入漏洞的产生。

  

360协助PHPCMS修复V9版SQL注入漏洞

  图1:黑客可控制HTTP_REFERER语句实施SQL注入

  经过对PHPCMS官方DEMO站点的测试,利用漏洞,攻击者可以构造SQL语句对DEMO网站的MySQL数据库进行查询,并能够实施“拖库”,甚至将数据库所在服务器变为傀儡主机。

  

  图2:官方的DEMO站点测试结果

  

  图3:构造SQL语句查询网站的MySQL数据库版本,甚至可以导致网站数据库被拖库

  由于全部PHPCMSV9用户均受漏洞影响,360网站安全工程师强烈建议用户立刻下载PHPCMSV9官方于12月11日推出的全新升级程序。或者,用户也可以下载360网站安全检测提供的防护脚本,能够快速修复漏洞防御黑客攻击。

  PHPCMSV9官方安全更新:http://download.phpcms.cn/v9/9.0/patch/

  360网站安全检测防护脚本:http://webscan.360.cn/down/php360.zip

  关于360网站安全服务

  360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士.

——THE END——

上一篇: 天互数据100万现金大礼助力陕西互联网企业

下一篇: 凝聚 · 目标 · 梦想 天互数据8月启动大会圆满结束

为你推荐
天互数据助力成长
  • 售前咨询电话

    400-675-6239

  • 在线客服

    在线客服,立即响应

  • 建议反馈

    天互数据渴望您的建议

关注天互数据                   关注美猴云

7*24小时咨询热线
400-675-6239

关注微信公众号

公司地址:西安市高新区高新六路42号中清大厦2层
邮编:710075 传真:029-89566419

在线客服

电话咨询

扫码咨询