360协助PHPCMS修复V9版SQL注入漏洞

天空的蓝伤 · 2012-12-14 15:34:14

　　日前，360网站安全检测平台独家发现PHPCMSV9版“注入”漏洞，并将漏洞信息通报PHPCMS官方，协助其快速推出补丁。据360网站安全检测平台分析，此前所有使用PHPCMSV9搭建的网站均存在SQL注入漏洞，可能使黑客利用漏洞篡改网页、窃取数据库，甚至控制服务器。鉴于该漏洞影响严重，360已第一时间向网站安全检测用户发出告警邮件，360网站卫士也增加了防护规则。
　　360网站安全检测平台服务网址：http://webscan.360.cn
　　360独家发现的PHPCMSV9漏洞：http://bbs.webscan.360.cn/forum.php?mod=viewthread&tid=481
　　PHPCMSV9版于2010年推出，是应用较为广泛的建站工具。第三方数据显示，目前使用PHPCMSV9搭建的网站数量多达数十万个，包括联合国儿童基金会等机构网站，以及大批企业网站均使用PHPCMSV9搭建和维护。
　　据360安全工程师分析，SQL注入漏洞存在于PHPCMSV9版本（包括GBK和UTF8版）的poster_click函数，攻击者可以控制HTTP_REFERER（header的一部分），将REFERER值直接带入数据库，而且不受magic_quotes_gpc()控制，这导致SQL注入漏洞的产生。

　　图1：黑客可控制HTTP_REFERER语句实施SQL注入
　　经过对PHPCMS官方DEMO站点的测试，利用漏洞，攻击者可以构造SQL语句对DEMO网站的MySQL数据库进行查询，并能够实施“拖库”，甚至将数据库所在服务器变为傀儡主机。

　　图2：官方的DEMO站点测试结果

　　图3：构造SQL语句查询网站的MySQL数据库版本，甚至可以导致网站数据库被拖库
　　由于全部PHPCMSV9用户均受漏洞影响，360网站安全工程师强烈建议用户立刻下载PHPCMSV9官方于12月11日推出的全新升级程序。或者，用户也可以下载360网站安全检测提供的防护脚本，能够快速修复漏洞防御黑客攻击。
　　PHPCMSV9官方安全更新：http://download.phpcms.cn/v9/9.0/patch/
　　360网站安全检测防护脚本：http://webscan.360.cn/down/php360.zip
　　关于360网站安全服务
　　360为站长提供免费的网站安全解决方案，包括360网站安全检测平台和360网站卫士：
　　360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台，拥有全面的网站漏洞库及蜜罐集群检测系统，能够第一时间协助网站检测修复漏洞；
　　360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。
　　关于奇虎360科技有限公司
　　奇虎360(NYSE

IHU)是中国第一大互联网安全服务提供商。按照用户数量计算，目前奇虎360是中国第三大互联网公司。作为“免费安全”的首创者，奇虎360为近4亿中国互联网用户提供领先的互联网和无线安全产品及服务，覆盖率近90%。奇虎360通过提供细致、完善的平台服务以及网络安全服务，以开放平台实现商业价值，与合作伙伴共同建立起多方共赢的互联网生态体系。

		自动登录	找回密码
密码			成为会员