欧美一级特黄大片做受成人-亚洲成人一区二区电影-激情熟女一区二区三区-日韩专区欧美专区国产专区

如何掃描網(wǎng)站漏洞針對于海洋CMS的漏洞檢查分析-創(chuàng)新互聯(lián)

臨近9月底,seacms官方升級海洋cms系統(tǒng)到9.95版本,我們SINE安全在對其源碼進行網(wǎng)站漏洞檢測的時候發(fā)現(xiàn)問題,可導(dǎo)致全局變量被覆蓋,后臺可以存在越權(quán)漏洞并繞過后臺安全檢測直接登錄管理員賬號。關(guān)于該漏洞的具體詳情,我們來詳細的分析一下:

站在用戶的角度思考問題,與客戶深入溝通,找到思禮網(wǎng)站設(shè)計與思禮網(wǎng)站推廣的解決方案,憑借多年的經(jīng)驗,讓設(shè)計與互聯(lián)網(wǎng)技術(shù)結(jié)合,創(chuàng)造個性化、用戶體驗好的作品,建站類型包括:成都網(wǎng)站設(shè)計、成都網(wǎng)站制作、企業(yè)官網(wǎng)、英文網(wǎng)站、手機端網(wǎng)站、網(wǎng)站推廣、空間域名、虛擬主機、企業(yè)郵箱。業(yè)務(wù)覆蓋思禮地區(qū)。

seacms主要設(shè)計開發(fā)針對于互聯(lián)網(wǎng)的站長,以及中小企業(yè)的一個建站系統(tǒng),移動互聯(lián)網(wǎng)的快速發(fā)展,該系統(tǒng)可自動適應(yīng)電腦端,手機端,平板端,APP端等多個用戶的端口進行適配,代碼開源免費,可二次開發(fā),PHP+Mysql數(shù)據(jù)庫架構(gòu),深受廣大網(wǎng)站運營者的青睞。

如何掃描網(wǎng)站漏洞 針對于海洋CMS的漏洞檢查分析

我們SINE安全工程師對該代碼進行了詳細的安全審計,在一個變量覆蓋上發(fā)現(xiàn)了漏洞,一開始以為只有這一個地方可以導(dǎo)致網(wǎng)站漏洞的發(fā)生,沒成想這套系統(tǒng)可以導(dǎo)致全局性的變量覆蓋發(fā)生漏洞,影響范圍較大,seacms系統(tǒng)的安全過濾與判斷方面做的還不錯,在其他地方放心可以平行越權(quán),并直接登錄后臺是管理員權(quán)限。默認變量覆蓋這里是做了安全效驗的功能,在配置代碼里common.php的22行里可以看到對get,post,cookies請求方式上進行了變量的安全效驗,對代碼的安全審計發(fā)現(xiàn)在34行里的變量覆蓋值判斷沒有進行KEY值的安全限制,導(dǎo)致此次漏洞的發(fā)生,我們可以利用這個值進行全局的變量覆蓋,不管是seeion還是cfg值都可以覆蓋。

如何掃描網(wǎng)站漏洞 針對于海洋CMS的漏洞檢查分析

我們來驗證下這個網(wǎng)站漏洞,搭建本地的環(huán)境,下載seacms最新版本,并使用apache+php5.5+mysql數(shù)據(jù)庫環(huán)境,我們前臺注冊一個普通權(quán)限的用戶,使用抓包工具對post的數(shù)據(jù)進行截取,我們來覆蓋cfg_user的值來進行管理員權(quán)限的賦值操作。我們只要賦值cfg_user不為0,就可以一直保持后臺的登陸狀態(tài)。我們直接去訪問后臺的地址,就可以直接登陸進去。截圖如下:

如何掃描網(wǎng)站漏洞 針對于海洋CMS的漏洞檢查分析

有了網(wǎng)站后臺管理員權(quán)限,一般都會想上傳webshell,那么后臺我們在代碼的安全審計中發(fā)現(xiàn)有一處漏洞,可以插入php語句并拼接導(dǎo)致可以上傳網(wǎng)站木馬文件,在水印圖片文字功能里,接收圖片的注冊值時可以插入phpinfo并執(zhí)行,如下圖。

如何掃描網(wǎng)站漏洞 針對于海洋CMS的漏洞檢查分析

如何掃描網(wǎng)站漏洞 針對于海洋CMS的漏洞檢查分析

關(guān)于海洋CMS的網(wǎng)站漏洞檢測,以及整個代碼的安全審計,主要是存在全局性的變量覆蓋漏洞,以及后臺可以寫入惡意的php語句拼接成webshell漏洞。關(guān)于網(wǎng)站的漏洞修復(fù)建議網(wǎng)站運營者升級seacms到最新版本,定期的更換網(wǎng)站后臺地址,以及管理員的賬號密碼,對安全不是太懂的話,也可以找專業(yè)的網(wǎng)站安全公司來處理,修復(fù)網(wǎng)站的漏洞,國內(nèi)SINE安全,啟明星辰,綠盟,都是比較不錯的,網(wǎng)站代碼時時刻刻都存在著安全漏洞,能做到的就是及時的對代碼進行更新補丁,或者定期的對網(wǎng)站進行滲透測試,網(wǎng)站漏洞測試,確保網(wǎng)站安全穩(wěn)定的運行。

分享題目:如何掃描網(wǎng)站漏洞針對于海洋CMS的漏洞檢查分析-創(chuàng)新互聯(lián)
本文路徑:http://aaarwkj.com/article18/dpjpdp.html

成都網(wǎng)站建設(shè)公司_創(chuàng)新互聯(lián),為您提供全網(wǎng)營銷推廣關(guān)鍵詞優(yōu)化、企業(yè)網(wǎng)站制作、營銷型網(wǎng)站建設(shè)、面包屑導(dǎo)航、網(wǎng)站導(dǎo)航

廣告

聲明:本網(wǎng)站發(fā)布的內(nèi)容(圖片、視頻和文字)以用戶投稿、用戶轉(zhuǎn)載內(nèi)容為主,如果涉及侵權(quán)請盡快告知,我們將會在第一時間刪除。文章觀點不代表本網(wǎng)站立場,如需處理請聯(lián)系客服。電話:028-86922220;郵箱:631063699@qq.com。內(nèi)容未經(jīng)允許不得轉(zhuǎn)載,或轉(zhuǎn)載時需注明來源: 創(chuàng)新互聯(lián)

網(wǎng)站優(yōu)化排名
亚洲精品主播一区二区三区| 国产我不卡在线观看免费| 亚洲国产熟女一区二区三| 国产亚洲一线二线三线| 不卡免费av在线高清| 欧美视频在线观看香蕉| 国产精品一区二区三区欧美| 中国吞精囗交免费视频| 亚洲精品视频久久免费| 亚洲国产黄片在线播放| 日韩黄av在线免费观看| 成人永久免费播放平台| 亚洲三级成人一区在线| 日本韩国黄色三级三级| 亚洲精品尤物福利视频| 亚洲精品欧美综合第四区| 午夜福利激情视频在线| 欧美在线免费黄片视频| 午夜视频在线观看区一| 日本乱一区二区三区在线| 2021最新四虎永久免费| 久久超碰一区二区三区| 中文字幕二区三区人妻| 亚洲精品精品一区二区| 日韩精品在线另类亚洲| 国产高清剧情av网站| 麻豆资源视频在线观看| 尤物视频在线观看羞羞| 在线高清中文字幕三区| 日韩在线一区二区视频观看| 亚洲一区二区精品91眼镜| 人人看男人的天堂东京| 91午夜福利视频在线观看| 国产三级精品三级专区| av基地蜜桃蜜桃蜜桃| 日本理伦片一区二区| 高清日韩精品视频在线观看| 欧美精品福利一区二区| 四虎在线观看最新入口| 国产成人精品福利一区二区| 欧美日韩亚洲精品瑜伽裤|