• 高清:C罗帽子戏法科斯塔梅开二度 葡萄牙3 2019-07-19
  • 社会主义社会按劳分配是建立在公有制和私有制并存基础上的,共产主义社会按需分配是建立在公有制基础上的,所有制基础不同,其分配形式也就不同。所谓“共产主义... 2019-07-19
  • 鄠邑区主城区因降雨集中积水严重 部分路段临时交通管制 2019-07-18
  • 上海地铁连发寻衅滋事事件 2019-07-16
  • 中国纳米核心技术取得重大突破 2019-07-11
  • 2016年中国移动舆论场研究报告 2019-07-04
  • 人民网评:涉及群众利益的事,必须“马上就办” 2019-07-03
  • 社评:香格里拉对话,美国难控制亚洲人心 2019-06-30
  • 高考全国I卷理科综合题现俩答案 选A选B都给6分 2019-06-30
  • 光明日报:不存在的补脑保健品,为何总有人趋之若鹜 2019-06-29
  • 宁波上周理财收益率有升有降 6月末回暖仍然可期 2019-06-27
  • 赵建平当选晋中市人民政府市长 2019-06-25
  • 国家博物馆举办“无问西东——从丝绸之路到文艺复兴”展 2019-06-25
  • 中化能源科技全力助推可持续发展的石化区块链应用 2019-06-25
  • 聚焦山东经济“新旧动能转换” 2019-06-25
  • 当前位置:北京十一选五走势图 >  站长 >  建站经验 >  正文

    3d开奖结果走势图连线:php网站有漏洞该怎么修复 如何修补网站程序代码漏洞

     2019-07-09 14:08  来源:A5用户投稿  我来投稿

    北京十一选五走势图 www.ktrd.net   各种互联网项目,新手可操作,几乎都是0门槛

    phpdisk是目前互联网最大的网盘开源系统,采用PHP语言开发,mysql数据库架构,我们SINE安全在对其网站安全检测以及网站漏洞检测的同时,发现该网盘系统存在严重的sql注入攻击漏洞,危害性较高,可以直接获取网站的管理员账号密码,利用默认后台地址登录,可以直接获取webshell权限。

    目前phpdisk最新版本为7.0版本,该网站系统可以用于公司办公,企业内部文件共享,文档存储,比传统的FTP软件更为直观,操作,简单方便,快捷,用户上传文件格式可以后台设置,人性化,满足了很多企业以及个人用户的青睐,使用的人越多,针对于该网站的漏洞挖掘也会越来越多,很容易遭受到攻击者的攻击。关于该网站的sql注入攻击漏洞的详情,我们SINE安全来详细的跟大家讲解一下:

    SQL注入漏洞详情

    phpdisk有多个版本,像gbk版本,utf8版本,在代码当中都会相互转换代码的功能,在对代码进行转化的同时多多少少会存在漏洞,该sql注入漏洞产生的原因就在这里,我们对代码进行安全审计后发现编码转换调用的是conver_str函数,大部分的网站对编码的转换都调用这个参数,在进行转化的时候进行了多次转义操作,我们追踪代码发现iconv存在sql宽字节注入漏洞,代码截图如下:

    另外的一处sql注入漏洞是在代码文件里,根目录下的ajax.php文件。我们来看下代码:

    本身该代码已经使用了全局变量的sql过滤系统,对一些sql注入语句进行了安全过滤与拦截,一般性的sql注入攻击都不会成功,但是经过我们的安全检测与绕过,可以直接将SQL注入语句植入到网站当中,并从后端执行数据库的查询操作,使用加密对其进行sql攻击。

    通过网站的sql注入漏洞我们可以直接获取网盘的管理员账号密码,获取到的是md5值,针对于md5值我们对其解密,并利用默认的后台地址,登录进去,通过上传文件,我们进一步的对网站进行上传webshell获取更高的管理员权限。

    如何防止sql注入攻击呢? 修复网站的漏洞

    对网站前端输入过来的值进行安全判断,尤其编码转换这里,确认变量值是否存在,如果存在将不会覆盖,杜绝变量覆盖导致掺入恶意构造的sql注入语句代码在GET请求,以及POST请求里,过滤非法字符的输入。 '分号过滤 --过滤 %20特殊字符过滤,单引号过滤,%百分号, and过滤,tab键值等的的安全过滤。对加密的参数进行强制转换并拦截特殊的语句,该phpdisk网站系统已经停止更新,如果对代码不是太懂的话,建议找专业的网站安全公司来处理解决网站被sql注入攻击问题,让安全公司帮忙修复网站的漏洞,像Sinesafe,绿盟那些专门做网站安全防护的安全服务商来帮忙?;褂幸坏憔褪?,如果实在不知道该怎么修复漏洞,直接将网站的后台地址改掉,改的复杂一些,即使攻击者破解了admin的账号密码,也登录不了后台

    责任编辑:chenlong666   /   作者:sinesafe

    相关标签
    网站漏洞

    申请创业报道,分享创业好点子。点击此处,共同探讨创业新机遇!

    相关文章

    • Kindeditor网站被篡改并提示该网站内容被禁止访问

      前端时间我们SINE安全对其进行全面的网站漏洞检测的时候发现,Kindeditor存在严重的上传漏洞,很多公司网站,以及事业单位的网站都被上传违规内容,包括一些赌博的内容,从我们的安全监测平台发现,2019年3月份,4月份,5月份,利用Kindeditor漏洞进行网站攻击的情况,日益严重,有些网站还

    • 网站漏洞如何修复jeecms网站程序

      jeecms最近被爆出高危网站漏洞,可以导致网站被上传webshell木马文件,受影响的版本是jeecmsV6.0版本到jeecmsV7.0版本。该网站系统采用的是JAVA语言开发,数据库使用的是oracle,mysql,sql数据库,服务器系统支持windows2008,windows2012,以

    • ECshop4.0 漏洞利用及如何修复网站漏洞

      ecshop目前最新版本为4.0,是国内开源的一套商城系统,很多外贸公司,以及电商平台都在使用,正因为使用的人数较多,很多攻击者都在挖掘该网站的漏洞,就在最近ecshop被爆出高危漏洞,该漏洞利用跨站伪造函数,来对网站数据库进行攻击

      标签:
      网站漏洞
    • 网站漏洞修复对WordPress 致命漏洞注入shell

      2019年正月刚开始,WordPress最新版本存在远程代码注入获取SHELL漏洞,该网站漏洞影响的版本是wordpress5.0.0,漏洞的产生是因为image??榈贾碌?,因为代码里可以进行获取目录权限,以及文件包含功能,导致远程代码注入成功。

    • 百度站长平台今日测试漏洞检测工具

      百度站长平台今日测试漏洞检测?工具,并在资料区增加了漏洞监测工具的帮助文件。?关于漏洞类型说明、漏洞危害、及漏洞解决方案做出如下解释。

    • 一个成功的营销型企业网站应该具备什么

      随着互联网的快速发展,现在各行各业的企业都有自己的企业网站,然而好多企业在拥有了自己的网站之后,效果却并没有多少,导致的结果就是,许多企业对于网站的建设越来越没有信心,那么一个成功的营销型企业网站应该具备什么呢,下面为大家分享几点想法。

    • alexa网站流量查询统计技巧

      Alexa网站流量排名是目前常引用的用来评价某一网站访问量的一个指标。事实上,Alexa排名是根据对用户下载并安装了AlexaToolsBar嵌入到IE等浏览器,从而监控其访问的网站数据进行统计的,因此,其排名数据并不具有绝对的权威性。但由于其提供了包括综合排名、到访量排名、页面访问量排名等多个评价

    • 平头哥SEO谈建站时容易被忽略的一些重要细节

      网站的建设,可能有一些人会认为只要结构不出现大的错误,尽量减少bug就可以看作是一个成功的网站,其实不然。网站的建设确实是一个技术性的工作,但这里说的技术不仅限于是代码如何编写这么简单,有很多重要的细节往往是新人在进行网站建设时最容易忽略的,而如果忽略了这些问题,将会严重的影响到用户的使用体验,那么

    • 网站漏洞修复之Discuz X3.4远程代码执行漏洞

      近期我们SINE安全在对discuzx3.4进行全面的网站渗透测试的时候,发现discuz多国语言版存在远程代码执行漏洞,该漏洞可导致论坛被直接上传webshell,直接远程获取管理员权限,linux服务器可以直接执行系统命令,危害性较大,关于该discuz漏洞的详情,我们来详细的分析看下。

    • 一个成功的营销型企业网站应该具备什么

      随着互联网的快速发展,现在各行各业的企业都有自己的企业网站,然而好多企业在拥有了自己的网站之后,效果却并没有多少,导致的结果就是,许多企业对于网站的建设越来越没有信心,那么一个成功的营销型企业网站应该具备什么呢,下面就由原创先锋为大家分享几点想法。

    • 为什么营销型企业网站转化效果好

      互联网的发展,现在已经拥有非常庞大的用户群体,对于企业来说是一个巨大的销售市场,如果在这巨大的销售市场展开销售,挖掘自己的潜在客户,途径就是做网络营销,建立属于自己企业个性化营销型企业网站,这种并不是简单的展示企业形象与产品,这个需要去做网站的营销,注重网站的转化率,简单的网站已经不能满足现在网络需

    • 免费CMS建站系统哪个比较好?如何选择?

      现在有很多的人在建设网站的时候采用的都是cms系统,我国比较经常使用的是PageAdmin、DEdeCMS、帝国系统等等不同的CMS系统使用的方向也是有所差异的,下面我们就来看下哪些建站系统会更加的好用一些。

      标签:
      cms系统
      cms源码
    • 营销型网站开发建设有怎样的优势和价值?

      与传统企业营销活动相比较,网站开发建设更具有活力和时代感,符合当代人们对于信息整合和掌握的理念与习惯。进行良好的营销型网站建设工作,能够具有非常强大完善的全网营销功能,这其中的内容包括网站服务、客服热线、网络推广、企业电子地图、企业邮箱等等。

    • 营销型网站建设价格偏贵 为什么我们还要做

      营销型网站,顾名思义就是以营销为目的的网站,自然而然在营销力上与普通网站相比,要出色不少。所以营销型网站在设计之初,便会以体现营销力为核心,从设计、内容等多方面来提升对用户的吸引力,使用户对网站更加信任,并实现用户营销。而许多企业所需要的正是营销力强的网站,通过这样的网站,企业就能令自己的产品得以在

    • 浅谈营销型网站建设价格贵的原因在哪里

      营销型网站,顾名思义就是以营销为目的的网站,自然而然在营销力上与普通网站相比,要出色不少。所以营销型网站在设计之初,便会以体现营销力为核心,从设计、内容等多方面来提升对用户的吸引力,使用户对网站更加信任,并实现用户营销。而许多企业所需要的正是营销力强的网站,通过这样的网站,企业就能令自己的产品得以在

    榜单

    热门排行

    信息推荐

    北京十一选五走势图
    扫一扫关注最新创业资讯
  • 高清:C罗帽子戏法科斯塔梅开二度 葡萄牙3 2019-07-19
  • 社会主义社会按劳分配是建立在公有制和私有制并存基础上的,共产主义社会按需分配是建立在公有制基础上的,所有制基础不同,其分配形式也就不同。所谓“共产主义... 2019-07-19
  • 鄠邑区主城区因降雨集中积水严重 部分路段临时交通管制 2019-07-18
  • 上海地铁连发寻衅滋事事件 2019-07-16
  • 中国纳米核心技术取得重大突破 2019-07-11
  • 2016年中国移动舆论场研究报告 2019-07-04
  • 人民网评:涉及群众利益的事,必须“马上就办” 2019-07-03
  • 社评:香格里拉对话,美国难控制亚洲人心 2019-06-30
  • 高考全国I卷理科综合题现俩答案 选A选B都给6分 2019-06-30
  • 光明日报:不存在的补脑保健品,为何总有人趋之若鹜 2019-06-29
  • 宁波上周理财收益率有升有降 6月末回暖仍然可期 2019-06-27
  • 赵建平当选晋中市人民政府市长 2019-06-25
  • 国家博物馆举办“无问西东——从丝绸之路到文艺复兴”展 2019-06-25
  • 中化能源科技全力助推可持续发展的石化区块链应用 2019-06-25
  • 聚焦山东经济“新旧动能转换” 2019-06-25
  • 爱彩乐网站正规吗 平特独平一肖 广西快乐双彩开奖时间 平码四复式 pc28am开奖结果 今期七星彩长条最新 图表走势一中彩大数据 内蒙古11选5冷热号 曾夫人四肖中特期期准 山东时时彩开奖结果查询 2019码报生肖图85期 北京十一选五任二遗漏 澳洲幸运8开奖数据分析 重庆百变王牌开出6张牌 福彩3d17500谜图