4月11日消息,360网站安全检测平台透露,该平台近期独家发布了DEDECMS建站系统最新版本(V5.7)的两个高危漏洞并提供了修复方案,建议广大采用DEDECMS建站系统用户尽快按照该方案完善系统漏洞,以防止网站受到损失。据介绍,此次DEDECMS漏洞由技术高手“c4rp3nt3rr”提交给360网站安全漏洞悬赏“库带计划”,从而推动360网站安全检测平台快速发布修复方案。
据了解, DEDECMS(织梦内容管理系统)是国内最知名的PHP开源网站管理系统,也是使用用户最多的PHP类CMS系统,诸多站点都是基于DEDECMS建立。360独家发布修复方案,帮助网站及时完善系统,防止漏洞被利用。
据360网站检测平台介绍,此次漏洞存在于DEDECMS的会员中心好友描述,以及会员中心收藏两个地方。好友描述修改处参数未过滤导致SQL注入漏洞;会员中心收藏删除功能存在SQL注入漏洞。据360安全工程师介绍,SQL注入漏洞直接威胁网站服务器和数据库,可导致数据库被黑客“拖库”。
据悉,360“库带计划”是国内首个第三方漏洞付费收录平台,以现金奖励方式征集开源建站系统漏洞,单个漏洞奖励金额最高可达1万元。自3月份“库带计划”启动以来,360网站安全检测平台已经收集了包括DISCUZ、PHPWIND、DEDECMS、PHPCMS、SHOPEX等多个知名建站系统的漏洞,并协助厂商及时修复。
目前, 360网站安全检测平台(http://webscan.360.cn)已发布漏洞修复方案,也第一时间向注册用户发送了告警邮件,提醒站长们尽快采取措施;同时建议网站站长们免费启用360网站卫士(http://wangzhan.360.cn/),可以有效防范各种0day漏洞攻击。
附:DEDECMS系统漏洞及修复方案:
漏洞原理
好友描述修改SQL注入漏洞
漏洞存在于/member/ajax_membergroup.php文件中
好友描述修改处参数未过滤导致SQL注入漏洞
图1:好友描述修改漏洞所在函数
会员中心收藏删除SQL注入漏洞
漏洞存在/ember/inc/space_action.php文件中
收藏删除功能
图2:会员中心收藏删除漏洞所在函数
漏洞利用效果及危害
利用该SQL注入获取管理员账号密码
图3:漏洞利用效果
修复方案
修复方案:
修改/member/ajax_membergroup.php文件中约51行处改成如下:
elseif($action==’despost’)
{
$mdescription=addslashes($mdescription);
$mid=intval($mid);
$sql=”UPDATE `#@__member_friends` SET `description`='{$mdescription}’ WHERE `fid`='{$mid}’ AND `mid`='{$cfg_ml->M_ID}'”;//$mdescription参数未作任何过滤
echo $sql;
$dsql->ExecuteNoneQuery($sql);
$row=$dsql->GetOne(“SELECT description FROM #@__member_friends WHERE `fid`='{$mid}’ AND `mid`='{$cfg_ml->M_ID}'”);
echo ” “.$row[‘description’].” 修改”;
}
图4:修复方案图示
/ember/inc/space_action.php文件约306行修改成如下:
else if($action==’feeddel’)
{
CheckRank(0,0 永结同心将手表送给爱人或情侣互赠,是表达彼此心情和爱意的工具,预示着自己时时刻刻都要和对方在一起的心情,具有良好的纪念价值,表示两人之间彼此爱慕,永结同心,白手不分离。幸福长寿将手表送给长辈,表示自己对长辈的孝敬,希望长辈能够长命百岁,幸福长寿,时针秒针的转动就像岁月的长河生生不息,表达自己珍惜与长辈在一起相处的时光。综合上述:通过以上关于手表代表什么象征意义内容介绍后,相信大家会对手表代表什么象征意义有个新的了解,更希望可以对你有所帮助。);
$fid=(empty($fid))? “” : intval($fid);
$row=$dsql->GetOne(“SELECT mid FROM `#@__member_feed` WHERE fid=’$fid'”);//直接获取$fid值带入sql语句
if($cfg_ml->M_ID!=$row[‘mid’])
{
ShowMsg(‘此动态信息不存在!’, -1);
exit();
}
$inquery=”DELETE FROM `#@__member_feed` WHERE fid=’$fid’ AND mid='”.$cfg_ml->M_ID.”‘”;
$dsql->ExecuteNoneQuery($inquery);
ShowMsg(‘成功删除一条动态信息!’, “index.php”);
exit();
}
关于360网站安全服务
360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:
360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;
360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。
硬度用来形容矿物颗粒的坚硬程度,依次从1~10,,10 类矿物分别是:(滑石1)、(石膏2)、(方解石3)、(莹石4)、磷灰石(5)、长石(6)、石英(7)、黄玉(8)、刚玉(9)、金刚石(10)蓝宝石是刚玉的一种,化学成分:Al2O3(三氧化二铝),硬度为9怎样为石英表选配扣式电池随着石英电子表的发展,人们手上佩戴的石英表样式和品牌越来越多,因此,正确为石英表选配扣式电池就成了广大消费者颇为关心的实际问题。目前市场上有许多装配的扣式电池。它们以AG3、AG1 等标号,负极镀黄似金,电池壳上既无商标也不标产地、生产日期代号,只标有型号及英文和日文的 “扣式电池”或“手表电池”字样,冒充国外进口电池。
原创文章,作者:leping,如若转载,请注明出处:https://www.zhjiashun.com/zjsb-78207.html
