网奇CMS - 成熟易用的.NET网站管理系统
旧版官网 | 客服论坛 | 彩虹服务 | 加入收藏 | TEL:400-600-2788

齐博CMS曝SQL注入漏洞 360提醒用户尽快打补丁

    近日,360网站安全检测平台独家发现齐博CMS V7(原PHP168 v系列)建站系统存在SQL注入漏洞(0day),黑客可利用此漏洞入侵网站服务器,窃取网站数据甚至完全控制服务器。对此,360已于第一时间将漏洞信息通报厂商,并群发告警邮件提醒旗下用户尽快下载最新补丁,360网站卫士也同时更新了防护规则。

  近日,360网站安全检测平台独家发现齐博CMS V7(原PHP168 v系列)建站系统存在SQL注入漏洞(0day),黑客可利用此漏洞入侵网站服务器,窃取网站数据甚至完全控制服务器。对此,360已于第一时间将漏洞信息通报厂商,并群发告警邮件提醒旗下用户尽快下载最新补丁,360网站卫士也同时更新了防护规则。

  360网站安全检测平台服务网址:http://webscan.360.cn

  齐博CMS建站系统是使用PHP语言开发的建站系统,因开源和可二次开放等特点为许多站长青睐。目前,齐博建站系统分为整站系统、B2B电子商务系统以及分类信息系统等多个版本。360此次发现的SQL注入漏洞存在于最新的齐博CMS V7整站系统中,所有使用此版本系统的网站都面临可能致命的安全风险。

  据360安全工程师分析,此次出现的SQL注入漏洞存在于/do/s_rpc.php文件中的$queryString变量中。黑客可利$queryString变量直接通过外部post传入,并用Chinese类进行GB2312转换带入SQL语句,最终导致可绕过magic_quotes_gpc =On的限制闭合单引号,产生SQL注入漏洞。

  经过对齐博CMS V7官方DEMO站点进行测试发现,攻击者可通过构造SQL语句查询网站的MySQL数据库版本,进行有针对性的攻击,最终“拖库”窃取网站数据,或植入后门控制服务器。

  由于该漏洞影响广泛,360网站安全工程师强烈建议用户立即打补丁,或按照360提供的解决方案手动修复这一高危漏洞,防止SQL注入攻击。同时推荐用户使用360网站卫士,保护网站免遭各类网络攻击。

  齐博官方修复补丁下载地址:http://bbs.qibosoft.com/read-forum-tid-411258.htm

  360提供的手动解决方案:

  打开/do/s_rpc.php 文件,查找如下代码:

  if(strlen($queryString) >0)

  在上面加入如下一行代码:

  $queryString = addslashes($queryString);

  关于360网站安全服务

  360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:

  360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;

  360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。

  关于奇虎360科技有限公司

  奇虎360(NYSE:QIHU)是中国领先的互联网安全服务提供商。按照用户数量计算,目前奇虎360是中国前三大互联网公司之一。据第三方数据显示,作为互联网“免费安全”的首创者,奇虎360为逾4亿中国互联网用户提供领先的互联网和无线安全产品及服务,用户渗透率逾90%。奇虎360通过提供细致、完善的平台服务以及网络安全服务,以开放平台实现商业价值,与合作伙伴共同建立起多方共赢的互联网生态体系。

0 顶一下 打印 阅读:
行业新闻中最有帮助的文章