乐淘游戏娱乐官网

  •    

当前位置:首页 >  站长 >  建站经验 >  正文

  

php网站有漏洞该怎么修复 如何修补网站程序代码漏洞

 2019-07-09 14:08  来源:A5用户投稿 

 

phpdisk是目前互联网最大的网盘开源系统,采用PHP语言开发,mysql数据库架构,我们SINE安全在对其网站安全检测以及网站漏洞检测的同时,发现该网盘系统存在严重的sql注入攻击漏洞,危害性较高,可以直接获取网站的管理员账号密码,利用默认后台地址登录,可以直接获取webshell权限。

目前phpdisk最新版本为7.0版本,该网站系统可以用于公司办公,企业内部文件共享,文档存储,比传统的FTP软件更为直观,操作,简单方便,快捷,用户上传文件格式可以后台设置,人性化,满足了很多企业以及个人用户的青睐,使用的人越多,针对于该网站的漏洞挖掘也会越来越多,很容易遭受到攻击者的攻击。关于该网站的sql注入攻击漏洞的详情,我们SINE安全来详细的跟大家讲解一下:

SQL注入漏洞详情

phpdisk有多个版本,像gbk版本,utf8版本,在代码当中都会相互转换代码的功能,在对代码进行转化的同时多多少少会存在漏洞,该sql注入漏洞产生的原因就在这里,我们对代码进行安全审计后发现编码转换调用的是conver_str函数,大部分的网站对编码的转换都调用这个参数,在进行转化的时候进行了多次转义操作,我们追踪代码发现iconv存在sql宽字节注入漏洞,代码截图如下:

另外的一处sql注入漏洞是在代码文件里,根目录下的ajax.php文件。我们来看下代码:

本身该代码已经使用了全局变量的sql过滤系统,对一些sql注入语句进行了安全过滤与拦截,一般性的sql注入攻击都不会成功,但是经过我们的安全检测与绕过,可以直接将SQL注入语句植入到网站当中,并从后端执行数据库的查询操作,使用加密对其进行sql攻击。

通过网站的sql注入漏洞我们可以直接获取网盘的管理员账号密码,获取到的是md5值,针对于md5值我们对其解密,并利用默认的后台地址,登录进去,通过上传文件,我们进一步的对网站进行上传webshell获取更高的管理员权限。

如何防止sql注入攻击呢? 修复网站的漏洞

对网站前端输入过来的值进行安全判断,尤其编码转换这里,确认变量值是否存在,如果存在将不会覆盖,杜绝变量覆盖导致掺入恶意构造的sql注入语句代码在GET请求,以及POST请求里,过滤非法字符的输入。 '分号过滤 --过滤 %20特殊字符过滤,单引号过滤,%百分号, and过滤,tab键值等的的安全过滤。对加密的参数进行强制转换并拦截特殊的语句,该phpdisk网站系统已经停止更新,如果对代码不是太懂的话,建议找专业的网站安全公司来处理解决网站被sql注入攻击问题,让安全公司帮忙修复网站的漏洞,像Sinesafe,绿盟那些专门做网站安全防护的安全服务商来帮忙。还有一点就是,如果实在不知道该怎么修复漏洞,直接将网站的后台地址改掉,改的复杂一些,即使攻击者破解了admin的账号密码,也登录不了后台

责任编辑:chenlong666   /   作者:sinesafe

相关标签
网站漏洞

申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

相关文章

  • 一个成功的营销型企业网站应该具备什么

    随着互联网的快速发展,现在各行各业的企业都有自己的企业网站,然而好多企业在拥有了自己的网站之后,效果却并没有多少,导致的结果就是,许多企业对于网站的建设越来越没有信心,那么一个成功的营销型企业网站应该具备什么呢,下面为大家分享几点想法。

  • alexa网站流量查询统计技巧

    Alexa网站流量排名是目前常引用的用来评价某一网站访问量的一个指标。事实上,Alexa排名是根据对用户下载并安装了AlexaToolsBar嵌入到IE等浏览器,从而监控其访问的网站数据进行统计的,因此,其排名数据并不具有绝对的权威性。但由于其提供了包括综合排名、到访量排名、页面访问量排名等多个评价

  • 平头哥SEO谈建站时容易被忽略的一些重要细节

    网站的建设,可能有一些人会认为只要结构不出现大的错误,尽量减少bug就可以看作是一个成功的网站,其实不然。网站的建设确实是一个技术性的工作,但这里说的技术不仅限于是代码如何编写这么简单,有很多重要的细节往往是新人在进行网站建设时最容易忽略的,而如果忽略了这些问题,将会严重的影响到用户的使用体验,那么

  • 网站漏洞修复之Discuz X3.4远程代码执行漏洞

    近期我们SINE安全在对discuzx3.4进行全面的网站渗透测试的时候,发现discuz多国语言版存在远程代码执行漏洞,该漏洞可导致论坛被直接上传webshell,直接远程获取管理员权限,linux服务器可以直接执行系统命令,危害性较大,关于该discuz漏洞的详情,我们来详细的分析看下。

  • 一个成功的营销型企业网站应该具备什么

    随着互联网的快速发展,现在各行各业的企业都有自己的企业网站,然而好多企业在拥有了自己的网站之后,效果却并没有多少,导致的结果就是,许多企业对于网站的建设越来越没有信心,那么一个成功的营销型企业网站应该具备什么呢,下面就由原创先锋为大家分享几点想法。

  • 为什么营销型企业网站转化效果好

    互联网的发展,现在已经拥有非常庞大的用户群体,对于企业来说是一个巨大的销售市场,如果在这巨大的销售市场展开销售,挖掘自己的潜在客户,途径就是做网络营销,建立属于自己企业个性化营销型企业网站,这种并不是简单的展示企业形象与产品,这个需要去做网站的营销,注重网站的转化率,简单的网站已经不能满足现在网络需

  • 免费CMS建站系统哪个比较好?如何选择?

    现在有很多的人在建设网站的时候采用的都是cms系统,我国比较经常使用的是PageAdmin、DEdeCMS、帝国系统等等不同的CMS系统使用的方向也是有所差异的,下面我们就来看下哪些建站系统会更加的好用一些。

    标签:
    cms系统
    cms源码
  • 营销型网站开发建设有怎样的优势和价值?

    与传统企业营销活动相比较,网站开发建设更具有活力和时代感,符合当代人们对于信息整合和掌握的理念与习惯。进行良好的营销型网站建设工作,能够具有非常强大完善的全网营销功能,这其中的内容包括网站服务、客服热线、网络推广、企业电子地图、企业邮箱等等。

  • 营销型网站建设价格偏贵 为什么我们还要做

    营销型网站,顾名思义就是以营销为目的的网站,自然而然在营销力上与普通网站相比,要出色不少。所以营销型网站在设计之初,便会以体现营销力为核心,从设计、内容等多方面来提升对用户的吸引力,使用户对网站更加信任,并实现用户营销。而许多企业所需要的正是营销力强的网站,通过这样的网站,企业就能令自己的产品得以在

  • 浅谈营销型网站建设价格贵的原因在哪里

    营销型网站,顾名思义就是以营销为目的的网站,自然而然在营销力上与普通网站相比,要出色不少。所以营销型网站在设计之初,便会以体现营销力为核心,从设计、内容等多方面来提升对用户的吸引力,使用户对网站更加信任,并实现用户营销。而许多企业所需要的正是营销力强的网站,通过这样的网站,企业就能令自己的产品得以在

热门排行

创业好项目

信息推荐

扫一扫关注最新创业资讯