首页 > 动态 > 关键词 > 0day安全漏洞最新资讯 > 正文

警惕Dedecms最新“友情链接”0day安全漏洞

2013-09-30 14:43 · 稿源:站长之家

站长之家(chinaz.com)9月30日消息:近日,知名安全漏洞报告平台“乌云”收到白帽子“海琪花”提交的漏洞报告,报告称DedeCMS存在一个严重的跨站脚本漏洞,攻击者可以通过前台提交“友情链接”提交恶意JS代码,当管理员访问后台管理“友情链接”时,触发攻击的恶意代码,导致攻击者直接盗用管理员身份登陆后台,最终导致网站被完全控制,植入恶意网站木马,轮为“肉鸡”。

经安全联盟站长平台研究人员分析后,确认了该漏洞确实存在,且影响到官方最新版本。官方并没有推出对应的漏洞补丁,仍然属于0day安全漏洞

值得注意的是,在乌云漏洞平台上显示“厂商主动忽略漏洞”。

另外据乌云漏洞平台上报告者称:“这个问题应该很久了,最近发现有用这个的蠕虫”,同时也有很多站长及漏洞修复专家向安全联盟反馈,该漏洞已经有“黑客”正在利用。

解决方案

第一种:下载“DedeCMS顽固木马专杀工具”,“DedeCMS顽固木马专杀工具 v2.0”里集成了该0day漏洞的检测、数据库清扫及漏洞修复补丁。

下载地址:

http://tool.scanv.com/dede_killer_v2.zip

http://zhanzhang.anquan.org/static/download/dede_killer.zip

使用教程

1、下载文件到本地,解压后用“编辑器”(可直接用window系统‘记事本’打开)打开dede_killer_v2.php 修改密码(默认密码不让登陆!),如果你的dedecms设置了data目录,请对应修改后保存。如下图:

2、用ftp等管理软件,把修改后的dede_killer_v2.php 上传到网站(dedecms安装的)跟目录下。用浏览器访问打开。(这里我们建议使用谷歌浏览器chrome或者火狐浏览器firefox访问)地址为:http://你的网站地址/dede_killer_v2.php 如下图:

3、输入密码后,点击登陆。可以看到功能选项 开始专杀之旅了!!

Dede安全扫瞄:

快速木马查杀:

高级木马查杀配置

最后演示下怎么通过“高级木马查杀”查找黑链页面。 高级搜索提供了自定义关键词、文件后缀,还支持正则表达式。对于一般站长来说,正则编写可能有难度,我们就使用下关键词扫瞄。在一次修补过程里我们发现黑客挂的页面都有dede.js

我们扫瞄一下 如下图:

结果如下:

第二种:安全联盟也推出了独立的补丁文件:http://tool.scanv.com/dedekiller/flink-fixed.zip

网友热搜:

  • 相关推荐
  • 大家在看
  • WhatsApp漏洞或已暴露用户的手机号码

    某安全研究人员透露,WhatsApp 惊现一个允许在谷歌搜索引擎上暴露用户手机号码的 bug 。虽然不是所有用户的号码都被暴露,但这个问题还是引发了他们的关注。但若用户只与自己认识的 WhatsApp 用户交谈过(未使用过群组邀请链接),便有很大的几率不会受到本次漏洞的影响。

  • 索尼悬赏35万征集PS4漏洞:避免破解

    其实早今年就有关于PS4和Xbox One被破解的消息流出,其方法并不假,只是限制重重,远非完美方案,同时,索尼、微软方面也通过和黑客的沟通,保持自己的系统更新先于破解一步。据外媒报道,索尼

  • 《英雄联盟》曝漏洞:部分英雄可造成全图伤害 官方回应

    6月19日下午,《英雄联盟》官微发表“关于召唤师峡谷平衡性漏洞的说明”。文中指出,当前游戏内召唤师峡谷模式存在平衡性漏洞,导致部分英雄在特殊情况下可以对全地图范围内的敌人造

  • 周鸿祎调侃潘石屹学python:他写的估计一百行里有十个漏洞

    在 6 月 20 日极客公园联合bilibili举办的Rebuild2020的对话中,360董事长周鸿祎谈到漏洞不可避免的原因称,一是人写代码的技术漏洞,二是违背安全规则的人性漏洞。

  • 周鸿祎谈新基建面临安全挑战:漏洞无处不在 一切皆可攻击

    在第四届世界智能大会(WIC)上,360董事长兼CEO周鸿祎谈到,网络安全已从数字化的附庸产业转为新基建的基石产业,因此,要把网络安全当作新基建的“基建”,建设好安全基础设施。360董事长兼CEO 周鸿祎过去一年,针对关键基础设施的攻击此起彼伏:3月,铝业巨头Norsk Hydro全球IT网络遭恶意攻击,自动化生产线无奈关闭;6月,伊朗石油、金融乃至军事导弹发射控制系统,遭不明来源网络攻击,多次陷入瘫

  • 男子连续吃了十年免费外卖苦不堪言:或订餐系统漏洞所致

    让你免费吃10年的“霸王餐”你会很痛苦吗?据外媒报道称,一位比利时人在过去十年里的生活,从来没有真正下过订单,但是他却天天都有免费的外卖吃,这让他痛苦不已。报道中提到,

  • 女子薅300万羊毛 多个平台堵上航空延误险漏洞:不乘坐不理赔

    近日,女子利用近900次航班延误骗保300万被抓一事引发热议。有网友认为这只是利用平台漏洞薅羊毛,警方今天发布通告称,该女子多次伪造航班延误证明等材料,虚构航班延误事实,骗取巨额保险金。

  • 2019 年热门开源项目中的漏洞增加了一倍以上

    ​RiskSense 发布了一份新报告,该报告提供了有关目前热门的开源软件中漏洞的深入发现,其中包括武器化漏洞数、哪种软件最容易受到威胁、攻击的最主要类型等内容。

  • 喜讯|锦行科技荣获CNNVD“2019年度漏洞报送专项奖”

    2020 年 4 月 10 日,国家信息安全漏洞库(CNNVD)对现有 103 家技术支撑单位 2019 年度支撑贡献情况进行了总结评价,并评选出 22 家贡献突出的技术支撑单位进行表彰,锦行科技作为中国国家信息安全漏洞库(CNNVD)的二级技术支撑单位荣获“CNNVD2019 年度漏洞报送专项奖”,此次仅有 5 家企业获得该项殊荣。 “漏洞”不可不知的三大风险 漏洞,尤其是高危漏洞,会使政府、门户、电商和银行等网站面临严重安全威胁,一旦补丁绕过漏洞可

  • 27岁程序员转职赏金猎人:一个漏洞10万美元,比工资香多了

    6 月 1 日,有报道称,印度开发者 Bhavuk Jain 向苹果安全团队报告了 Sign in with Apple(通过 Apple 登录)中存在一个零日漏洞,它允许攻击者远程劫持任意用户账户,影响严重。为此苹果向 Jain 支付了十万美元的巨额赏金。

  • Windows Insider现启用Dev/Beta/Release Preview新名称

    ​从某种角度来说,Windows 10 的成功很大程度上归功于 Windows Insider 项目的良性循环。该项目不仅让用户提前体验各种新功能,也帮助微软构建了完善的测试系统和反馈机制。在成功运行超过五年之后,近日微软宣布对 Windows Insider 项目进行一些调整。

  • 焦点聚集DeFi,OKEx“项目小指南”

    近期,DeFi成为研究者及投资者重点关注的项目。6月29日,OKEx CEO Jay Hao在社群直播时表示:“OKEx一直都在关注DeFi的生态发展,早在19年末就对接MakerDao的DSR,以OKEx作为入口向用户提供DeFi的服务,同时OKEx也发起了自己的公链项目OKChain。”在提及DeFi安全性问题时,Jay Hao表示:“这并不会成为DeFi发展的瓶颈并且OKChain会重点发力在该领域,发展更加安全和高性能的DeFi生态服务。”DeFi是去中心化金融(decentralized finan

  • 黑曜石新作《Grounded》将玩家变成蝼蚁

    为防止玩家吓尿,黑曜石贴心地在游戏中设置了蜘蛛恐惧症缓解模式,滑动杆调整值越高,蜘蛛就越萌:开发单位表示外形变化只起示意作用,不影响实际体验及游戏难度。如果玩家依然无法战胜恐

  • 特斯拉Model Y开启国际交付

    DoNews 6月11日消息(记者 刘文轩)特斯拉(Tesla)周二正式开始首款Model Y车辆国际交付。Teslarati发现,已经有加拿大温哥华的客户在Instagram上展示他们购买的最新款特斯拉全电动汽车。该车主在Instagram分享了一张照片,照片中有一辆深蓝色Model Y被送到加拿大新车主的手中。特斯拉温哥华展厅顾问Charlie Wang也证实了这一消息,Model Y在6月开始在温哥华交货。Model Y长续航版本在加拿大的起步价为75990加元,约59720美元;性

  • 特斯拉弗里蒙特工厂Model 3总装线或有减少 一条改为Model Y总装线

    6月10日消息,据国外媒体报道,特斯拉位于加州弗里蒙特的组装工厂,在今年一季度已开始组装去年3月份推出的跨界运动型多用途汽车Model Y,部分幸运的消费者已经收到了他们此前预订的这一款电动汽车。特斯拉跨界运动型多用途汽车Model Y但从外媒最新的报道来看,弗里蒙特工厂的Model Y总装线,可能是此前用于组装Model 3的生产线。弗里蒙特工厂Model Y总装线此前可能是Model 3总装线,源自外媒获得的特斯拉CEO马斯克的?

  • Xbox智能分发是什么 Smart Delivery有哪些服务

    微软游戏业务部门Xbox在近日公布了一个全新的服务——智能分发(Smart Delivery),这一个将上一代主机游戏延续到次世代主机的服务,具体服务内容是什么呢,我们来一起看下。

  • 加快DevOps流程:CFO和CISO如何一起工作

    Covid-19大流行带来了新的常态。远程工作和视频会议从未像现在这样流行。直接的结果是,云计算也从未如此流行。但是,需要注意的是需要全速迁移的人员。DivvyCloud的杰里米·斯奈德(Jeremy Snyder)在4月告诉该刊物 时 说,“人们真的很擅长创造东西,但不善于自我清理”,而 上个月 ,Pariveda Solutions副总裁玛格丽特·罗杰斯(Margaret Rogers)警告说:“知道去哪里很少能旅途更轻松”。在当今时代,安全比以?

  • 特斯拉Model 3国产性能规格公布,Model3高性能全轮驱动版详细介绍

    特斯拉Model3 国产性能规格怎么样?6 月 28 日晚,特斯拉中国在官网发布了Model3 高性能全轮驱动版车辆的国标工况续航里程,续航里程测试结果为635km,百公里加速时间为3. 4 秒,时速可达 261 公里/小时。

  • 马斯克:特斯拉并未开发搭载100kWh电池组的Model 3/Model Y

    6月17日消息,据国外媒体报道,此前,有传闻称,特斯拉正开发一款搭载100kWh电池组的Model 3/Model Y。对此,该公司CEO埃隆·马斯克予以否认。此前,一名叫“Zeus M3”的黑客访问了特斯拉Model 3的“工厂模式”(Factory Mode)。他在推特上分享的截图显示,有一款Model 3或者Model Y似乎搭载100kWh的电池组。这名黑客的爆料引发了许多猜测,其中最有趣的是有关车辆续航里程增加的猜测。目前,Model 3配备的电池组最高

  • Zoom Video收盘创下新纪录 涨幅8.88%

    避难所股票周一上涨,跑赢大盘,由于国内外新出现的COVID-19案件再度兴起,Zoom Video Communications Inc.的股票收盘创下新纪录。变焦视频 US:ZM 周一,该股收于创纪录的239.02美元,涨幅8.9%,此前曾创下历史新高239.59美元。同时,标准普尔500指数 US:SPX 收盘上涨0.8%,科技含量高的纳斯达克综合指数 US:COMP 收盘上涨1.4%,从周一盘初的跌势中反弹。在美国,佛罗里达州和德克萨斯州等州的病例数再度飙升,导致COVID-19

  • 参与评论
文明上网理性发言,请遵守新闻评论服务协议

热文

  • 3 天
  • 7天