首页 > 传媒 > 关键词 > DedeCMS漏洞最新资讯 > 正文

DedeCMS曝SQL注入漏洞 360提醒站长速打补丁

2012-11-23 11:12 · 稿源:站长之家用户投稿

近日,知名第三方漏洞报告平台乌云曝光建站工具DedeCMS系统反馈页面存在SQL注入高危漏洞(http://www.wooyun.org/bugs/wooyun-2012-014076 ),攻击者可以轻易获取网站管理员密码,网站数据面临“拖库”威胁。经360网站安全检测(WebScan)对注册用户的分析研究发现,86%使用DedeCMS的网站存在该漏洞,危害范围十分广泛。

据了解,DedeCMS(织梦内容管理系统)是国内知名的PHP类CMS系统,在站长圈内应用广泛,用户涉及企事业单位、政府机关、教育、媒体、IT及互联网等多个行业,青年文摘、盐城国土资源部门网站都是用DedeCMS搭建。

据360网站安全检测分析,造成DedeCMS漏洞的原因在于其plus\feedback.php中的变量$typeid,由于未对参数进行初始化检测,从而导致SQL注入漏洞的产生。

图1:feedback.php中过滤不严导致漏洞

360安全专家表示,攻击者通过提交回复,无需审核即可发表回复,并执行恶意语句,窃取管理员的账号和密码,后只需进行MD5解密便可得到明文密码。经验证,有些网站虽然没有启用会员模块,但依旧存在feedback页面,这导致在允许游客评论的状态下,SQL漏洞就可以被利用;而即便禁止游客评论,也可能面临安全风险。

图2:实施SQL注入攻击后,可获得管理员账号密码

目前,DedeCMS V5.7以下版本都受该漏洞影响,DedeCMS官方已提供下载补丁进行修复(http://bbs.dedecms.com/551651.html),但补丁推出一段时间来,360网站安全检测发现仍有大量网站并未重视。对此,360网站安全检测平台已向旗下用户发送警告邮件,建议广大站长及管理员尽快下载官方补丁进行修复,并使用360网站安全检测和360网站卫士,保护网站安全。

关于360网站安全服务

360为站长提供免费的网站安全解决方案,包括360网站安全检测平台和360网站卫士:

360网站安全检测平台是国内首个集网站漏洞检测、网站挂马监控、网站篡改监控于一体的免费检测平台,拥有全面的网站漏洞库及蜜罐集群检测系统,能够第一时间协助网站检测修复漏洞;

360网站卫士则为站长免费提供网站防火墙、DDOS保护、CC保护、智能DNS解析、盗链保护、页面压缩、缓存加速和永久在线等服务。

关于奇虎360科技有限公司

奇虎360(NYSE:QIHU)是中国第一大互联网安全服务提供商。按照用户数量计算,目前奇虎360是中国第三大互联网公司。作为“免费安全”的首创者,奇虎360为近4亿中国互联网用户提供领先的互联网和无线安全产品及服务,覆盖率近90%。奇虎360通过提供细致、完善的平台服务以及网络安全服务,以开放平台实现商业价值,与合作伙伴共同建立起多方共赢的互联网生态体系。

网友热搜:

免责声明:“站长之家”的传媒资讯页面文章、图片、音频、视频等稿件均为自媒体人、第三方机构发布或转载。如稿件涉及版权等问题,请与我们联系删除或处理。稿件内容仅为传递更多信息之目的,不代表本网观点,亦不代表本网站赞同其观点或证实其内容的真实性,更不对您的投资构成建议。我们不鼓励任何形式的投资行为、购买使用行为。

  • 相关推荐
  • 大家在看
  • WhatsApp漏洞或已暴露用户的手机号码

    某安全研究人员透露,WhatsApp 惊现一个允许在谷歌搜索引擎上暴露用户手机号码的 bug 。虽然不是所有用户的号码都被暴露,但这个问题还是引发了他们的关注。但若用户只与自己认识的 WhatsApp 用户交谈过(未使用过群组邀请链接),便有很大的几率不会受到本次漏洞的影响。

  • 索尼悬赏35万征集PS4漏洞:避免破解

    其实早今年就有关于PS4和Xbox One被破解的消息流出,其方法并不假,只是限制重重,远非完美方案,同时,索尼、微软方面也通过和黑客的沟通,保持自己的系统更新先于破解一步。据外媒报道,索尼

  • 《英雄联盟》曝漏洞:部分英雄可造成全图伤害 官方回应

    6月19日下午,《英雄联盟》官微发表“关于召唤师峡谷平衡性漏洞的说明”。文中指出,当前游戏内召唤师峡谷模式存在平衡性漏洞,导致部分英雄在特殊情况下可以对全地图范围内的敌人造

  • 周鸿祎调侃潘石屹学python:他写的估计一百行里有十个漏洞

    在 6 月 20 日极客公园联合bilibili举办的Rebuild2020的对话中,360董事长周鸿祎谈到漏洞不可避免的原因称,一是人写代码的技术漏洞,二是违背安全规则的人性漏洞。

  • 周鸿祎谈新基建面临安全挑战:漏洞无处不在 一切皆可攻击

    在第四届世界智能大会(WIC)上,360董事长兼CEO周鸿祎谈到,网络安全已从数字化的附庸产业转为新基建的基石产业,因此,要把网络安全当作新基建的“基建”,建设好安全基础设施。360董事长兼CEO 周鸿祎过去一年,针对关键基础设施的攻击此起彼伏:3月,铝业巨头Norsk Hydro全球IT网络遭恶意攻击,自动化生产线无奈关闭;6月,伊朗石油、金融乃至军事导弹发射控制系统,遭不明来源网络攻击,多次陷入瘫

  • 男子连续吃了十年免费外卖苦不堪言:或订餐系统漏洞所致

    让你免费吃10年的“霸王餐”你会很痛苦吗?据外媒报道称,一位比利时人在过去十年里的生活,从来没有真正下过订单,但是他却天天都有免费的外卖吃,这让他痛苦不已。报道中提到,

  • 女子薅300万羊毛 多个平台堵上航空延误险漏洞:不乘坐不理赔

    近日,女子利用近900次航班延误骗保300万被抓一事引发热议。有网友认为这只是利用平台漏洞薅羊毛,警方今天发布通告称,该女子多次伪造航班延误证明等材料,虚构航班延误事实,骗取巨额保险金。

  • 2019 年热门开源项目中的漏洞增加了一倍以上

    ​RiskSense 发布了一份新报告,该报告提供了有关目前热门的开源软件中漏洞的深入发现,其中包括武器化漏洞数、哪种软件最容易受到威胁、攻击的最主要类型等内容。

  • 喜讯|锦行科技荣获CNNVD“2019年度漏洞报送专项奖”

    2020 年 4 月 10 日,国家信息安全漏洞库(CNNVD)对现有 103 家技术支撑单位 2019 年度支撑贡献情况进行了总结评价,并评选出 22 家贡献突出的技术支撑单位进行表彰,锦行科技作为中国国家信息安全漏洞库(CNNVD)的二级技术支撑单位荣获“CNNVD2019 年度漏洞报送专项奖”,此次仅有 5 家企业获得该项殊荣。 “漏洞”不可不知的三大风险 漏洞,尤其是高危漏洞,会使政府、门户、电商和银行等网站面临严重安全威胁,一旦补丁绕过漏洞可

  • 27岁程序员转职赏金猎人:一个漏洞10万美元,比工资香多了

    6 月 1 日,有报道称,印度开发者 Bhavuk Jain 向苹果安全团队报告了 Sign in with Apple(通过 Apple 登录)中存在一个零日漏洞,它允许攻击者远程劫持任意用户账户,影响严重。为此苹果向 Jain 支付了十万美元的巨额赏金。

  • Windows Insider现启用Dev/Beta/Release Preview新名称

    ​从某种角度来说,Windows 10 的成功很大程度上归功于 Windows Insider 项目的良性循环。该项目不仅让用户提前体验各种新功能,也帮助微软构建了完善的测试系统和反馈机制。在成功运行超过五年之后,近日微软宣布对 Windows Insider 项目进行一些调整。

  • 两个月涨超600%!DeFi引发新一轮造富效应,等大佬如何看?

    种种数据表明,DeFi正在引发新一轮造富效应。据DeFi Market Cap统计,当前DeFi项目总市值超过63亿美元。就在两个月前,该数据还不足10亿美元,这意味着DeFi总市值涨幅超600%。DeFi项目锁仓资金也在爆发式增长。据DeFi Pulse统计已统计的29个DeFi项目共计锁仓资金超17亿美元,两个月涨幅超100%。如果评选2020年下半年第一大热点,DeFi当之无愧。那么问题来了:在加密市场整体震荡之时,DeFi缘何异军突起?DeFi热潮又能持续多久?围?

  • 二季度结束时 特斯拉Model 3总产量有望超过60万

    【TechWeb】6月9日消息,据国外媒体报道,二季度目前已只剩下20多天,按惯例,在二季度结束之后,电动汽车厂商特斯拉很快就会公布这一季度电动汽车的产量和交付量。由于弗里蒙特的整车组装工厂和内华达州生产电池的超级工厂,在二季度停产了近40天,特斯拉二季度电动汽车的产量和交付量大概率会低于一季度。不过,从目前的情况来看,即使特斯拉二季度的产量低于一季度,其旗下明星车型Model 3,都有望创下一个新的记录,总产量有?

  • 焦点聚集DeFi,OKEx“项目小指南”

    近期,DeFi成为研究者及投资者重点关注的项目。6月29日,OKEx CEO Jay Hao在社群直播时表示:“OKEx一直都在关注DeFi的生态发展,早在19年末就对接MakerDao的DSR,以OKEx作为入口向用户提供DeFi的服务,同时OKEx也发起了自己的公链项目OKChain。”在提及DeFi安全性问题时,Jay Hao表示:“这并不会成为DeFi发展的瓶颈并且OKChain会重点发力在该领域,发展更加安全和高性能的DeFi生态服务。”DeFi是去中心化金融(decentralized finan

  • 黑曜石新作《Grounded》将玩家变成蝼蚁

    为防止玩家吓尿,黑曜石贴心地在游戏中设置了蜘蛛恐惧症缓解模式,滑动杆调整值越高,蜘蛛就越萌:开发单位表示外形变化只起示意作用,不影响实际体验及游戏难度。如果玩家依然无法战胜恐

  • 特斯拉Model Y开启国际交付

    DoNews 6月11日消息(记者 刘文轩)特斯拉(Tesla)周二正式开始首款Model Y车辆国际交付。Teslarati发现,已经有加拿大温哥华的客户在Instagram上展示他们购买的最新款特斯拉全电动汽车。该车主在Instagram分享了一张照片,照片中有一辆深蓝色Model Y被送到加拿大新车主的手中。特斯拉温哥华展厅顾问Charlie Wang也证实了这一消息,Model Y在6月开始在温哥华交货。Model Y长续航版本在加拿大的起步价为75990加元,约59720美元;性

  • AMD最强移动显卡Radeon Pro 5600M首测:提速50%、苹果独享

    AMD近日发布了新款移动显卡Radeon Pro 5600M,专为苹果16英寸MacBook Pro定制,这也是AMD迄今为止最强大的移动显卡,规格高于PC平台的Radeon RX 5600M/5700M。Radeon Pro 5600M基于7nm工艺、R

  • 特斯拉弗里蒙特工厂Model 3总装线或有减少 一条改为Model Y总装线

    6月10日消息,据国外媒体报道,特斯拉位于加州弗里蒙特的组装工厂,在今年一季度已开始组装去年3月份推出的跨界运动型多用途汽车Model Y,部分幸运的消费者已经收到了他们此前预订的这一款电动汽车。特斯拉跨界运动型多用途汽车Model Y但从外媒最新的报道来看,弗里蒙特工厂的Model Y总装线,可能是此前用于组装Model 3的生产线。弗里蒙特工厂Model Y总装线此前可能是Model 3总装线,源自外媒获得的特斯拉CEO马斯克的?

  • Xbox智能分发是什么 Smart Delivery有哪些服务

    微软游戏业务部门Xbox在近日公布了一个全新的服务——智能分发(Smart Delivery),这一个将上一代主机游戏延续到次世代主机的服务,具体服务内容是什么呢,我们来一起看下。

  • 加快DevOps流程:CFO和CISO如何一起工作

    Covid-19大流行带来了新的常态。远程工作和视频会议从未像现在这样流行。直接的结果是,云计算也从未如此流行。但是,需要注意的是需要全速迁移的人员。DivvyCloud的杰里米·斯奈德(Jeremy Snyder)在4月告诉该刊物 时 说,“人们真的很擅长创造东西,但不善于自我清理”,而 上个月 ,Pariveda Solutions副总裁玛格丽特·罗杰斯(Margaret Rogers)警告说:“知道去哪里很少能旅途更轻松”。在当今时代,安全比以?

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天