苹果CMS系统是一套多家电影网站使用的网站系统。它是开源的,免费的,并且具有良好的可扩展性。支持一键采集、伪静态、高并发、同时加载网络推广有那些。它受到许多网站管理员的喜爱。最近,网站安全检测发现maccms存在网站漏洞。SQL注入可以获取管理员账号和数据库密码的漏洞细节,网络推广有那些我们仔细分析一下。
maccms漏洞分析与修复文章源自张俊SEM-https://zhangjunsem.com/9299.html
Apple CMS采用PHP语言开发代码,使用的数据库是MySQL类型,网络推广有那些这种架构比较常用,比较稳定,但是安全问题比较多,这次发现的是SQL注入漏洞,在网站的根目录中Inc文本在模块目录中的文件视频点播.php代码如下图所示:文章源自张俊SEM-https://zhangjunsem.com/9299.html
代码中的空($WD)函数,在判断是否为空的逻辑过程中,会对之前用户访问带来的参数进行安全过滤。我们跟踪代码来跟踪applecms的配置文件函数.php配置文件代码Lee看到站点上的所有请求者get、post和cookies的提交方法都被强制转义网络推广有那些。这就是网站漏洞问题发生的地方。文章源自张俊SEM-https://zhangjunsem.com/9299.html
我们仔细地发现,网络推广有那些maccms使用360安全机制来防止SQL注入拦截代码。360防止SQL注入的技术是几年前开发的,并在网络上向公众开放。它已经很长时间没有更新和维护了,而且仍然存在绕过SQL注入代码的情况网络推广有那些。当在参数值之间进行实体转换时,360的SQL拦截规则不会拦截空白字符和反斜杠,这就导致绕过恶意参数的插入,直接向苹果CMS后端数据库请求Go,让管理员得到一个文章源自张俊SEM-https://zhangjunsem.com/9299.html
免责声明:文章《Apple CMS网站漏洞修复解决方案》来至网络,文章表达观点不代表本站观点,文章版权属于原作者所有,若有侵权,请联系本站站长处理!文章源自张俊SEM-https://zhangjunsem.com/9299.html 文章源自张俊SEM-https://zhangjunsem.com/9299.html
声明:转载此文是出于传递更多学习交流目的。若有来源标注错误或侵犯了您的合法权益,请作者持权属证明与本网联系,我们将及时更正、删除,谢谢。本站部分图文来源于网络,仅供学习交流,发表作品观点仅代表作者本人,本站仅提供信息存储空间服务,不承担连带责任。如有侵权,请及时联系管理员删除。
评论