首页 > 传媒 > 关键词 > 360最新资讯 > 正文

Zend框架曝任意文件读取漏洞 威胁网站源代码

2012-07-23 16:00 · 稿源:站长之家用户投稿

近日,乌云平台曝Zend Framework(ZF)框架中的XMLRPC模块存在xxe(XML external entity)注入漏洞(http://www.wooyun.org/bugs/wooyun-2010-09336),攻击者可借此读取服务器上的任意文件,包括密码文件及PHP源代码。360网站检测平台扫描发现,200余家网站存在这一漏洞,知名开源建站平台Magento等使用ZF框架的建站系统也受该漏洞影响,波及更多网站。

360网站安全检测平台服务网址:http://webscan.360.cn/

据了解,ZF框架与PHP一脉相承,应用遍及金融、航空、电商、媒体等多个领域。其中XMLRPC是提供RPC(远程过程调用)和服务的一个模块,采用XML语言在服务端跟客户端之间进行数据交互。在XMLPRC功能开启的情况下,管理者可以读取服务器上的任意文件。但由于xxe(XML external entity)注入漏洞,黑客同样读取服务器上的任意文件。

360网站安全检测平台认为,上述漏洞原因在于Zend框架的loadXml函数(Zend XMLRPC Request.php和Response.php)在解析XML数据的时候未禁用加载外部entities。在初始化SimpleXMLElement类之前未调用libxml_disable_entity_loader函数(如图)。

图:未调用libxml_disable_entity_loader函数成漏洞关键

这一情况导致当WEB应用程序使用Zend_XmlRpc_Server类(ZendXmlRpcServer.php)处理XMLRPC请求时,可能泄露远程服务器的任意文件。黑客利用该漏洞,可以读取使用Zend框架系统的任意文件,包括数据库账号密码,进而对整个网站内容进行修改,甚至直接盗取PHP源代码。

鉴于该漏洞影响广泛,且有可能造成网站源代码泄露等致命危害,360网站安全检测平台在第一时间向旗下用户发送了告警邮件,强烈建议升级Zend框架至最新版本(如Magento系统),并定期使用360安全检测服务随时监控网站安全状态。

Zend框架最新版本升级地址:http://framework.zend.com/download/latest

Magento官方升级包补丁下载地址:http://www.magentocommerce.com/blog/comments/important-security-update-zend-platform-vulnerability

关于360网站安全检测平台

360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞。2011年,360网站安全检测平台曾协同360团购导航,为国内数百家主流团购网站提供了免费网站漏洞检测服务并提供修复建议,提高了团购网站整体安全水平。

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • 您身边的物联网安全医生,青莲云正式推出IoT安全检测平台

    青莲云正式推出IoT安全检测平台(TinyScan)。作为国内唯一一家覆盖端到端检测能力的IoT安全检测平台,我们将专注于持续提升检测能力并赋能给企业,围绕安全开发生命周期管理,帮助企业建立属于自己的安全测试流程和规范制度。什么是青莲云IoT安全检测平台?平台简介:以SaaS服务的形式提供覆盖设备固件、云平台/API、客户端APP的端到端自动化安全检测平台,并出具可下载、可复测的企业专属安全检测报告,帮助企业建立属于自己的物联网安全?

  • 360全资收购企业级协同通讯平台厂商织语CCwork

    今日, 360 集团正式宣布全资收购企业级协同通讯平台厂商织语CCwork。

    360
  • 360金融推出个人信用分"360分" 将与旗下生态圈打通

    近日, 360 金融正式推出个人信用分 360 分,此功能已在 360 借条APP上线。用户可以登陆 360 借条APP,在首页“更多”点击“ 360 分”查询自己的信用分值。

  • 继芝麻信用和微信支付分之后 360金融也推出信用分“360分”

    【TechWeb】6月22日消息,近日,360金融正式推出个人信用分360分,此功能已在360借条APP上线。据悉,这是继蚂蚁芝麻信用分和腾讯微信支付分之后,国内互联网企业+银行综合体建立的第三个信用分体系。目前,用户可以登陆360借条APP,在首页“更多”点击“360分”查询自己的信用分值。据介绍,360分根据用户的信用历史、行为偏好、履约能力、身份特质和人脉关系五大维度评估,分数区间为0-900分,丰富的履历记录将有助获得更高的360

  • 京东健康:13日核酸检测购买量增幅达460%

    数据显示, 6 月 13 日全天,在京东健康平台上关注、浏览核酸检测预约服务的用户数,增幅达385%;当天下单购买核酸检测服务的成交量,环比前一日增幅达460%。

  • Grab因疫情宣布裁员360人,曾获得软银集团投资

    6月16日消息,东南亚打车软件Grab宣布将裁员360人,占目前公司总员工数量的5%,本次裁员的目的是减少新冠疫情期间的支出对公司造成的财务压力影响。

  • 猴子数据:微信域名检测原理批量检测域名是否被微信拦截

    本文章由猴子数据专业微信域名检测编写。微信为了维护微信自身的生态环境,通常会做一系列的检测,检测有没有涉及不法产品,有没有诱导分享,检测违规的两个手段:1、系统的自动检测,微信后台自动检测(检测页面内容、关键词、描述和图片,URL、IP、友链黑名单等等)2、微信工作人员的人工检测,然而人工的检测重要是源于多用户投诉举报,微信后台有一个警报机制,在多少时间内积累充足的举报次数,将列入风险名单,对风险名单中

  • 360OS率先落地工业物联网“安全”场景

    【TechWeb】物联网爆发式增长的背后,正在汇聚新一轮网络安全挑战:安全漏洞的高增长率以及越来越多的攻击媒介,增加了更高防护难度。日前,360OS与蘑菇物联携手,将360OS的安全审计、风险感知、应急响应等安全解决方案首次应用于空压机垂直细分行业。此举标志着360OS的安全方案在工业物联网赛道上的创新应用,也为产业物联网行业合作伙伴业务布局建立了安全生态的雏形。当前,产业物联网新市场呈爆发式增长,为行业多结构布局带?

  • 华兴资本重申360金融购买评级为买入

    【TechWeb】6月9日消息,日前,360金融重要关联方360集团宣布入股天津金城银行,成为金城银行第一大股东。对此,华兴资本近日发布报告称,360集团入股金城银行将引领360金融构建更强大的生态系统,并延伸出更多商业机会。华兴资本表示,紧密的银行合作伙伴关系将强化360金融在产品、资金与风险上的优势,并重申360金融购买评级为买入。华兴资本指出,利用银行牌照,360集团与360金融打造的金融科技生态将与蚂蚁金服与腾讯的模式相

  • 360周鸿祎:新基建时代网络安全是底座

    【TechWeb】6月23日消息,第四届世界智能大会今天开幕,360集团董事长兼CEO周鸿祎出席大会,并发表《新基建需要同步建设安全基建》的主题演讲。周鸿祎认为新基建的本质是数字化基建,整个世界充分数字化后,将出现“软件定义世界、万物皆可互联、数据驱动一切”的特点。当一切都建立在软件上,如果网络安全得不到保障,新基建将是“裸奔”。当虚拟世界和物理世界打通,所有虚拟世界的攻击都会导致物理世界的伤害。在周鸿祎看来,?

  • 360大病筹联合明星爱心团发起破冰行动 为渐冻人“解冻”

    6 月 21 日是世界“渐冻人日”,各地将举行各类认识运动神经元疾病的相关活动,以引起世人对这种可怕疾病的重视。在这个特殊的日子里,网络大病救助平台 360 大病筹将联合众明星发起破冰行动,希望通过明星发起人唤起公众对于渐冻人症这一疾病的关注,让更多的渐冻人更有尊严、更有质量地生存。目前加入破冰行动的有黄奕、胡兵、温岚、黑泽、古子成,后续也期待更多明星加入进来。 几年前,一场冰桶挑战让渐冻人走进大家的视野。?

  • 360保险唐紫春:以科技构建保险生态 实现人人有保可依

    随着技术渗透和模式变革在保险产业链的深化,我国保险行业已全面转入“科技赋能”。日新月异的技术不仅让行业实现快速发展,也让保险科技拥有了极大的想象空间。近日,互联网保险平台 360 保险就在其新战略暨新产品发布会上,明确了“科技,让保险更简单”的战略主张。 360 保险创始人唐紫春表示:“通过科技化的能力服务最广泛的人群,让人人有保可依是 360 保险的愿景,希望 360 保险能够成为每个家庭抵御风险的首选保险科技平?

  • 世界渐冻人日 360大病筹联合明星爱心团为渐冻人“破冰”

    在 6 月 21 日第 20 个世界渐冻人日,网络大病救助平台 360 大病筹携手黄奕、胡兵、温岚、黑泽、古子成等明星爱心团,联合发起破冰行动,呼吁给予渐冻人症患者更多关注和帮扶救助,提升他们的生活质量,同时加强大众自我健康保护的意识以及对渐冻人症的预防。此外, 360 大病筹还联合健康管理平台善诊提供了 1 万个免费体检名额,一同号召大众关注“渐冻人症”。(图: 360 大病筹联合明星爱心团发起“破冰行动”) “渐冻人症”?

  • 软银再遭打击:投资的东南亚网约车Grab裁员360人

    东南亚网约车巨头Grab今天宣布,将裁员360人,略低于员工总量的5%。目前,Grab正削减支出来应对经济衰退以及业务在新冠肺炎疫情后缓慢复苏。Grab CEO陈炳耀(Anthony Tan)表示,新冠肺炎对企业和经济产生了广泛影响,公司正采取措施适应这一挑战。除了裁员,Grab还计划削减部分非核心项目,合并企业职能,把一些员工重新分配到更新的业务中,例如外卖。Grab获得了软银集团的投资,

  • 360收购数据安全公司瀚思科技 具体金额不详

    今日360宣布全资收购瀚思科技,具体金额不详。本次交易由红华资本担任独家战略投资和财务顾问。瀚思科技是一家大数据安全分析公司,成立于2014年,还是全球网络安全500强、中国网络安全50强,也是唯一进入 Gartner 2020 SIEM全球魔力象限(SIEM是全球公认的安全对抗战略制高点和政企安门户级产品)的中国公司,其他入选的厂商皆来自美国。瀚思科技CEO高瀚昭谈到:“360+瀚思的结合,不是简单体量和能力的

  • 核酸检测去哪做?百度核酸检测预约一键预约地址

    日前百度健康联合专业的第三方检测及采样机构(包括金域医学、迪安诊断及爱康国宾等),为广大用户提供新冠核酸检测服务。检测机构均具备新冠病毒检测资质,已为全国多省市提供复工、返校及入境检测服务。

  • 360成立三大专委会 强调人才培养的“精耕细作”

    6月12日消息,知名科技商业观察家金错刀在微博发文称,360将进行人才战略升级,首次围绕公司核心业务,成立集团安全专业委员会、互联网专业委员会、硬件专业委员会。针对此事,TechWeb第一时间向360集团求证,对方表示此事属实,并称此次人才战略升级是一个全新的起点。设立专委会,意在进一步加强专业人才培养与队伍建设,倡导并落地“专家培养专家”理念,从而打造出一支既能紧跟行业趋势、又能落地执行的专业精英队

  • 融360|简普科技(NYSE:JT)持续赋能金融机构 携手共建良好信用生态

    建设现代信用体系是实现经济高质量发展的重要保障,是国家治理体系和治理能力现代化的重要内容。近年来,党中央国务院及有关部门大力推进社会信用体系建设,意在不断完善现代信用体系。5月18日,《中共中央 国务院关于新时代加快完善社会主义市场经济体制的意见》(以下简称《意见》)公布。《意见》提出,构建适应高质量发展要求的社会信用体系和新型监管机制。此举再次表明,在目前经济转型的重要战略机遇期,推动我国经济高质量发展,健全

  • 360收购企业级IM厂商织语CCwork 加码政企市场

    360宣布全资收购企业级协同通讯平台厂商织语CCwork。这是继收购亿方云后,360在政企协同办公领域的又一大动作。织语CCwork主要为政府和大中型企业提供产品和服务,成立3年多时间,收获了近20个行业、近千家大型政企客户,其中包括用户数在10万以上的超大型组织。其曾在2017年10月获得2300万人民币的天使轮融资,未披露投资方。据了解,在加入360后,织语将继续保持独立运营。为解决企业内部沟通和客户关

  • 360宣布全资收购瀚思科技 共筑安全大脑推进大安全战略

    今日, 360 和瀚思科技联合宣布, 360 全资收购瀚思科技。收购完成后,瀚思科技将全面融入 360 企业安全集团,双方将共筑安全大脑,推进 360 大安全战略。此外,瀚思管理团队和员工将加入 360 政企安全,参与安全大脑的研发设计和战略落地。

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议