关键词:
骑士CMS是国内公司开发的一套开源人才网站系统,使用PHP语言开发以及mysql数据库的架构,2019年1月份被某安全组织检测出漏洞,目前最新版本4.2存在高危网站漏洞,通杀SQL注入漏洞,利用该网站漏洞可以获取网站的管理员账号密码以及用户账号信息.
目前很多人才网站都使用的骑士CMS系统,受影响的网站较多,关于该网站漏洞的详情我们来详细的分析一下。骑士cms4.2最新版本使用了thinkphp的架构,底层的核心基础代码都是基于thinkphp的开发代码,有些低于4.2版本的网站系统都会受到漏洞的***。我们来本地服务器进行搭建骑士CMS系统的环境,首先去骑士官方下载最新版本74cms_Home_Setup_v4.2.111.zip,然后安装php版本为5.4,mysql数据库安装版本为5.6,我们把网站放到D盘的默认wwwroot里,解压ZIP包到目录当中去.
然后我们进行安装,调试,使其本地127.0.0.1可以打开网站进行漏洞的测试,该漏洞的利用条件是要网站拥有一些招聘的数据,有了数据才可以进行sql注入***,我们在自己安装的网站里新增加了许多招聘的岗位,如下图:
我们随便注册一个商户的账号,登陆商户用户中心,然后再发布一条信息到网站的前台。我们打开测试的网站地址,看到有一条招聘信息了,我们打开来
127.0.0.1/index.php?m=&c=jobs&a=jobs_list&lat=21.183858&range=80&lng=225.15098* 点击之后就会
有提示,我们就可以进行注入了。如下图所示:
网站漏洞详情文件是Application目录里的Common文件夹下的Conf文件config.php代码,发现这个配置文件调用的就是job_list的类标签,这个类会把一些参数值直接赋值到$this->params里,根据这个接口我们可以插入非法的SQL注入代码,大部分的thinkphp都是可以进行注册的,包括目前最新的thinkphp5.0漏洞,都是可以远程代码执行的。
关于骑士CMS网站漏洞的修复办法,目前官方还没有公布最新的补丁,建议大家在服务器前端部署SQL注入防护,对GET、POST、COOKIES、的提交方式进行拦截,也可以对网站的后台目录进行更改,后台的文件夹名改的复杂一些,懂程序代码设计的话,建议将数值转换改为浮点型,防止二次SQL注入。网站漏洞的修补与***后门的清除,需要很多专业的知识,也不仅仅是知识,还需要大量的经验积累,所以从做网站到维护网站,维护服务器,尽可能找专业的网站安全公司来解决问题,国内也就Sinesafe和绿盟、启明星辰等安全公司比较专业.
网站***修复网站漏洞修复方案
...侵入如何防止网站被黑如何防止网站被挂马网站安全服务怎么查找网站漏洞web网站安全服务dedecms老被挂马该内容被禁止访问网站被黑怎么修复MetInfo漏洞修复ecshop网站安全修补wordpress漏洞修复ecshop漏洞修复dz论坛Discuz_X3.4最新网站... 查看详情
网站漏洞检测修复短息轰炸漏洞检测与修补方案
...被侵入如何防止网站被挂马网站安全服务web网站安全服务怎么查找网站漏洞网站***检测网站被黑怎么修复wordpress漏洞修复该内容被禁止访问文章标签:网站安全检测网站漏洞检测网站漏洞修复网站安全公司版权很多公司网站的被... 查看详情
网站漏洞修复之vim文本编辑bug分析与修复方案
...站安全服务网站安全防护服务网站安全维护网站安全问题怎么查找网站漏洞网站后门检测工具网站被挂马怎么办网站***检测dedecms老被挂马版权linux系统一直以来都是比较安全的,不管是系统内核还是一些第三方软件都没有太大的... 查看详情
cms网站漏洞检测对获取管理员密码漏洞如何修复
PbootCMS是网站常用的一款CMS系统,是由国内著名程序开发商翔云科技研发的一套网站CMS系统,免费开源,扩展性较高,使用的企业很多但是避免不了网站存在漏洞,SINE安全对其代码进行安全审计的同时发现该pbootcms存在严重的漏... 查看详情
struts2架构网站漏洞修复详情与利用漏洞修复方案
...文着重的给大家介绍一下struts2漏洞的利用详情以及漏洞修复办法。先从1开始吧,S2-001影响的版本是Struts2.0.0-Struts2.0.8 查看详情
针对网站漏洞怎么修复区块链漏洞之以太坊
针对网站漏洞怎么修复区块链漏洞之以太坊分类专栏:网站安全网站安全文章标签:网站漏洞怎么修复网站安全公司网站漏洞修复网站安全网站漏洞检测版权前段时间以太坊升级架构,君士坦丁堡的硬分叉一个升级代号,被爆出... 查看详情
dedecms5.7最新漏洞修复
...解决办法,也希望采用织梦cms的童鞋,尽快升级补丁。1.修复:[高危]DedeCMS最新SQL注入漏洞 修复方法:1)下载补丁:http://updatenew.dedecm 查看详情
xss网站漏洞如何修复大牛支招让您网站更安全
...站安全服务网站安全防护服务网站安全维护网站安全问题怎么查找网站漏洞ecshop漏洞修复MetInfo漏洞修复网站被黑怎么修复ecshop网站安全修补网站安全检测wordpress漏洞修复服务器漏洞修复网站漏洞检测服务网站安全***测试服务网... 查看详情
网站漏洞安全***测试公司组建方案
...测试公司组建方案分类专栏:网站安全漏洞检测网站漏洞修复网站***测试文章标签:***测试公司网站安全公司网站漏洞修复公司网站程序漏洞查找网站安全维护公司版权越来越多的网站和app的上线,导致安全问题日益增加,漏洞问... 查看详情
分享网站漏洞检测与如何修复网站逻辑漏洞
分享网站漏洞检测与如何修复网站逻辑漏洞分类专栏:网站安全网站被篡改网站被黑如何防止网站被黑如何防止网站被侵入如何防止网站被挂马网站安全服务网站安全防护服务网站安全维护网站安全问题ecshop漏洞修复MetInfo漏洞... 查看详情
网站安全之逻辑漏洞检测附网站漏洞修复方案
在网站安全的日常安全检测当中,我们SINE安全公司发现网站的逻辑漏洞占比也是很高的,前段时间某酒店网站被爆出存在高危的逻辑漏洞,该漏洞导致酒店的几亿客户的信息遭泄露,包括手机号,姓名,地址都被泄露,后续带... 查看详情
网站安全之逻辑漏洞检测附漏洞修复方案
在网站安全的日常安全检测当中,我们SINE安全公司发现网站的逻辑漏洞占比也是很高的,前段时间某酒店网站被爆出存在高危的逻辑漏洞,该漏洞导致酒店的几亿客户的信息遭泄露,包括手机号,姓名,地址都被泄露,后续带... 查看详情
网站被***篡改***怎么解决并查找网站漏洞
网站被***篡改***怎么解决并查找网站漏洞分类专栏:网站安全网站被篡改如何防止网站被黑如何防止网站被侵入如何防止网站被挂马网站安全服务网站安全防护服务网站安全维护怎么查找网站漏洞网站安全检测ecshop网站安全修补... 查看详情
网站程序代码存在漏洞如何挖掘和修复
网站程序代码存在漏洞如何挖掘和修复分类专栏:***测试公司网站安全漏洞检测网站漏洞修复文章标签:漏洞修复网站代码审计网站安全测试版权国内学习漏洞挖掘的习惯所谓奠定基础,学习各种编程书籍,然后学习漏洞挖掘,... 查看详情
网站发现跨站脚本漏洞(xss)怎么修复啊?高手来...
刚才扫了下,发现了个这样的、怎么修复啊.... 搞手帮下忙... 这个怎么解决啊、、、 在线等参考技术A楼上的太麻烦了,教你个简单的,点右下角的360安全修护,来个全盘扫描,重启机子OK了 查看详情
企业网站被黑dedecms漏洞修复办法
...黑如何防止网站被挂马网站安全服务如何防止网站被侵入怎么查找网站漏洞dedecms老被挂马网站安全版权前段时间网站被黑了,从百度打开网站直接被劫持跳转到了彩票,du博网站上去,网站的首页index.html文件也被篡改成一些什... 查看详情
***测试对头像上传漏洞检测与修复
***测试对头像上传漏洞检测与修复分类专栏:网站安全漏洞检测网站***测试网站被黑文章标签:***测试网站安全测试网站漏洞检测网站安全防护网站漏洞扫描版权很多客户网站以及APP在上线运营之前都会对网站进行***测试,提前... 查看详情
常见安全漏洞及修复方案(代码片段)
1.1跨站脚本(XSS)漏洞漏洞描述跨站脚本攻击(CrossSiteScripting,XSS)发生在客户端,可被用于进行窃取隐私、钓鱼欺骗、偷取密码、传播恶意代码等攻击行为。恶意的攻击者将对客户端有危害的代码放到服务器上作为一个... 查看详情